Créer une base de référence de comptes de stockage Azure

Un compte Stockage Azure fournit un espace de noms unique où vous pouvez stocker vos objets de données Stockage Azure et y accéder.

Recommandations relatives à la sécurité des comptes Stockage Azure

Les sections suivantes décrivent les recommandations Stockage Azure qui se trouvent dans CIS Microsoft Azure Foundation Security Benchmark v. 3.0.0. Les étapes de base à effectuer dans le portail Azure sont fournies avec chaque recommandation. Vous devez effectuer ces étapes pour votre propre abonnement et en utilisant vos propres ressources afin de valider chaque recommandation de sécurité. Gardez à l’esprit que les options de niveau 2 peuvent restreindre certaines fonctionnalités ou activités. Tenez donc soigneusement compte des options de sécurité que vous décidez d’appliquer.

Exiger des transferts à sécurité renforcée - Niveau 1

Ce sont des mesures de sécurité nécessaires pour garantir que Stockage Azure chiffre les données entre le client et Stockage Azure. La première recommandation est de toujours utiliser le protocole HTTPS. L’utilisation de HTTPS garantit la sécurisation des communications sur l’Internet public. Pour appliquer l’utilisation du protocole HTTPS lorsque vous appelez des API REST pour accéder aux objets dans les comptes de stockage, activez l’option de transfert sécurisé nécessaire pour le compte de stockage. Une fois ce contrôle activé, les connexions qui utilisent HTTP sont refusées. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu de gauche, sous Paramètres, sélectionnez Configuration.

4. Dans le volet Configuration , vérifiez que le transfert sécurisé requis est activé.

5. Si vous modifiez des paramètres, sélectionnez Enregistrer dans la barre de menus.

Activer le chiffrement des objets blob - Niveau 1

Stockage Blob Azure est la solution de stockage d’objets de Microsoft pour le cloud. Stockage Blob est optimisé pour le stockage de grands volumes de données non structurées. Les données non structurées sont des données qui n’obéissent pas à un modèle ou une définition de données spécifique. Les données binaires ou textuelles sont des exemples de données non structurées. Le chiffrement du service de stockage Azure protège vos données au repos. Stockage Azure chiffre vos données à mesure qu’elles sont écrites dans ses centres de données, et les déchiffre automatiquement quand vous y accédez.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu de gauche, sous Sécurité + mise en réseau, sélectionnez Chiffrement.

4. Dans le volet Chiffrement , notez que le chiffrement stockage Azure est activé pour tous les comptes de stockage nouveaux et existants et qu’il ne peut pas être désactivé.

Regénérer périodiquement les clés d’accès - Niveau 1

Quand vous créez un compte de stockage dans Azure, Azure génère deux clés d’accès de stockage de 512 bits. Ces clés sont utilisées pour l’authentification lors de l’accès au compte de stockage. La permutation périodique de ces clés garantit qu’un accès par inadvertance à ces clés ou leur exposition est limité(e) dans le temps. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu de gauche, sélectionnez Sécurité + mise en réseau, puis sélectionnez Clés d’accès.

4. Passez en revue la dernière date pivotée pour chaque clé.

   

   Si vous n’utilisez pas Azure Key Vault avec rotation de clé, vous pouvez sélectionner le bouton Faire pivoter la touche pour faire pivoter manuellement vos clés d’accès.

Exiger l’expiration des jetons de signature d’accès partagé dans un délai d’une heure - Niveau 1

Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints à des ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne sont pas assez fiables pour recevoir votre clé de compte de stockage, mais auxquels vous souhaitez déléguer l’accès à certaines ressources du compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.

Exiger que les jetons de signature d’accès partagé soient partagés seulement via HTTPS - Niveau 1

Les jetons de signature d’accès partagé doivent être autorisés seulement sur le protocole HTTPS. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu sous Sécurité + mise en réseau, sélectionnez Signature d’accès partagé.

4. Dans le volet signature d’accès partagé , sous Début et date/heure d’expiration, définissez les dates et heures de début et de fin .

5. Sous Protocoles autorisés, sélectionnez HTTPS uniquement.

6. Si vous modifiez des paramètres, sélectionnez le bouton Générer une SAP et une chaîne de connexion en bas de l’écran.

Configurez les fonctionnalités de signature d’accès partagé dans les sections suivantes.

Activer le chiffrement d’Azure Files - Niveau 1

Azure Disk Encryption chiffre les disques de systèmes d’exploitation et de données dans les machines virtuelles IaaS. Le chiffrement côté client et le chiffrement côté serveur (SSE) sont utilisés tous deux pour chiffrer les données dans Stockage Azure. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu de gauche, sous Sécurité + mise en réseau, sélectionnez Chiffrement.

4. Dans le volet Chiffrement , notez que le chiffrement stockage Azure est activé pour tous les stockages blob et fichiers nouveaux et existants, et qu’il ne peut pas être désactivé.

Exiger uniquement un accès privé aux conteneurs d’objets blob - Niveau 1

Vous pouvez activer l’accès en lecture public anonyme à un conteneur et à ses objets blob dans Stockage Blob Azure. En activant l’accès en lecture public anonyme, vous pouvez accorder un accès en lecture seule à ces ressources sans partager votre clé de compte et sans exiger de signature d’accès partagé. Par défaut, un conteneur et les objets blob qu’il contient sont accessibles seulement par un utilisateur qui dispose des autorisations appropriées. Pour accorder aux utilisateurs anonymes l’accès en lecture à un conteneur et à ses objets blob, vous pouvez définir le niveau d’accès au conteneur sur public.

Toutefois, si vous accordez un accès public à un conteneur, les utilisateurs anonymes peuvent lire des objets blob au sein d’un conteneur accessible publiquement sans que la demande soit autorisée. Une recommandation de sécurité consiste à définir plutôt l’accès aux conteneurs de stockage sur privé. Effectuez les étapes suivantes pour chaque compte de stockage dans votre abonnement Azure.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Comptes de stockage.

2. Dans le volet Comptes de stockage , sélectionnez un compte de stockage.

3. Dans le menu de gauche sous Stockage de données, sélectionnez Conteneurs.

4. Dans le volet Conteneurs , vérifiez que le niveau d’accès public est défini sur Privé.