Stockage, données et chiffrement

La protection des données au repos est nécessaire pour garantir la confidentialité, l’intégrité et la disponibilité dans toutes les charges de travail. Le stockage dans un service cloud comme Azure est architecturé et implémenté assez différemment des solutions locales pour permettre une mise à l’échelle massive, un accès moderne via des API REST et une isolation entre les locataires.

L’octroi de l’accès au stockage Azure est possible via Azure Active Directory (Azure AD), ainsi que des mécanismes d’authentification basés sur des clés (authentification par clé partagée symétrique ou signature d’accès partagé).

Le stockage dans Azure inclut un certain nombre d’attributs de conception de sécurité natifs :

  • Toutes les données sont chiffrées par le service.

  • Les données figurant dans le système de stockage ne peuvent pas être lues par un locataire si celui-ci ne les a pas écrites (afin d’atténuer le risque de fuite de données entre locataires).

  • Les données sont conservées exclusivement dans la région de votre choix.

  • Le système gère trois copies synchrones des données dans la région de votre choix.

  • Une journalisation détaillée de l’activité est disponible sur la base d’une acceptation.

Vous pouvez configurer des fonctionnalités de sécurité supplémentaires, telles qu’un pare-feu de stockage pour fournir une couche supplémentaire de contrôle d’accès, ainsi qu’une protection contre les menaces de stockage pour détecter les accès et activités anormaux.

Le chiffrement est un outil puissant pour la sécurité, mais il est essentiel d’en comprendre ses limites en matière de protection des données. À l’instar d’un coffre-fort, le chiffrement restreint l’accès à ceux qui sont en possession d’un petit élément (une clé mathématique). Bien qu’il soit plus facile de protéger des clés que des jeux de données plus volumineux, il est impératif de fournir des protections appropriées pour les clés. La protection des clés de chiffrement n’étant pas un processus humain intuitif naturel (en particulier, parce que des données électroniques telles que des clés peuvent être parfaitement copiées sans laisser de preuves), elle est souvent négligée ou mal implémentée.

Si le chiffrement est disponible dans de nombreuses couches dans Azure (et souvent activé par défaut), nous avons identifié les couches les plus importantes (risque élevé de déplacement de données vers un autre support de stockage) et aussi les plus faciles à implémenter (surcharge proche de zéro).

Utiliser des contrôles d’accès au stockage basés sur l’identité

Les fournisseurs de services cloud proposent plusieurs méthodes de contrôle d’accès aux ressources de stockage. Il s’agit, par exemple, des clés partagées, des signatures partagées, de l’accès anonyme et de méthodes basées sur des fournisseurs d’identités.

Identifiez les méthodes d’authentification et d’autorisation les moins fiables proposées par les fournisseurs, et activez des contrôles d’accès en fonction du rôle plus précis sur les ressources de stockage.

Nous vous recommandons d’utiliser une option basée sur l’identité pour le contrôle d’accès au stockage.

Par exemple, l’authentification Azure Active Directory pour les services de blob et de file d’attente Azure.

Chiffrer les fichiers sur disque virtuel

Des machines virtuelles utilisent des fichiers sur disque virtuel en tant que volumes de stockage virtuels, et existent dans un système de stockage d’objets blob d’un fournisseur de services cloud. Ces fichiers peuvent être déplacés d’un système local vers un système cloud, d’un système cloud vers un système local ou entre des systèmes cloud. En raison de la mobilité de ces fichiers, vous devez vous assurer que les fichiers et leur contenu ne sont pas accessibles à des utilisateurs non autorisés.

Des contrôles d’accès basés sur l’authentification doivent être en place pour empêcher des attaquants potentiels de télécharger les fichiers sur leurs propres systèmes. En cas de faille dans le système d’authentification et d’autorisation ou dans sa configuration, vous souhaitez disposer d’un mécanisme de sauvegarde pour sécuriser les fichiers sur disque virtuel.

Vous pouvez chiffrer les fichiers sur disque virtuel pour empêcher des attaquants d’accéder au contenu des fichiers sur disque dans le cas où un attaquant parviendrait à télécharger les fichiers. Lorsque des attaquants tentent de monter un fichier sur disque chiffré, ils ne sont pas en mesure de le faire en raison du chiffrement.

Nous vous recommandons d’activer le chiffrement de disque virtuel.

Azure Disk Encryption est un exemple de chiffrement de disque virtuel.

Activer les services de chiffrement de plateforme

Tous les fournisseurs de services cloud publics activent le chiffrement qui est effectué automatiquement à l’aide de clés gérées par le fournisseur sur leur plateforme. Dans de nombreux cas, cette opération est effectuée pour le client et aucune intervention de l’utilisateur n’est requise. Dans d’autres cas, le fournisseur propose cela sous la forme d’une option que le client peut choisir d’utiliser ou non.

L’activation de ce type de chiffrement n’entraîne pratiquement pas de surcharge, car il est géré par le fournisseur de services cloud.

Pour chaque service qui prend en charge le chiffrement par le fournisseur de services, nous vous recommandons d’activer cette option.

Un exemple de chiffrement par le fournisseur de services spécifique du service est le chiffrement du service Stockage Azure.

Étapes suivantes

Pour obtenir des conseils de sécurité supplémentaires de Microsoft, consultez Documentation Microsoft sur la sécurité.