Résumé

  • 3 minutes

Dans ce module, vous avez appris à planifier et à implémenter des mesures de sécurité pour stockage Azure alignées sur les principes de confiance zéro et les stratégies de défense en profondeur.

Concepts clés abordés

Authentification et autorisation : vous avez exploré les méthodes d’authentification modernes pour stockage Azure, en mettant l’accent sur l’ID Microsoft Entra comme approche préférée par rapport aux clés d’accès partagés. Vous avez appris à implémenter l'Azure RBAC pour le stockage des objets blob, des files d’attente et des tables, et à comprendre quand utiliser les identités managées pour les applications par rapport à d’autres méthodes d’authentification. Vous avez également appris à gérer correctement les clés d’accès de compte de stockage, notamment le stockage sécurisé dans Azure Key Vault et les stratégies de rotation pour réduire les risques de sécurité.

Service-Specific Sécurité : vous avez examiné les méthodes d’autorisation adaptées à chaque service stockage Azure :

  • Azure Files : configuration de l’authentification basée sur l’identité avec Microsoft Entra Domain Services ou Active Directory Domain Services, et implémentation des autorisations au niveau du partage et des fichiers
  • Stockage Blob : utilisation de Microsoft Entra ID pour un accès sécurisé avec des rôles RBAC intégrés et personnalisés appropriés
  • Stockage de table : implémentation de l'autorisation Microsoft Entra ID avec des attributions de rôles appropriées
  • Stockage de file d'attente : autoriser l'accès via le portail Azure et par programmation en utilisant les informations d'identification Microsoft Entra ID.

Protection et récupération des données : vous avez appris des stratégies complètes de protection des données, notamment la suppression réversible pour les conteneurs et les objets blob, le contrôle de version d’objets blob pour le suivi des modifications, les fonctionnalités de restauration dans le temps et les stratégies de stockage immuables pour les exigences de conformité. Ces mécanismes de protection fournissent une défense en profondeur contre la suppression accidentelle, la modification malveillante et les attaques par ransomware.

Options de chiffrement avancées : vous avez exploré les fonctionnalités de chiffrement avancées pour les environnements réglementés et à haute sécurité :

  • Apportez votre propre clé (BYOK) : contrôle du cycle de vie des clés de chiffrement en important en toute sécurité des clés à partir de HSM locaux dans Azure Key Vault
  • Chiffrement de l’infrastructure : activation du double chiffrement au niveau du service et de l’infrastructure pour les organisations avec des exigences de conformité strictes

Principes de sécurité mis en évidence

Tout au long de ce module, plusieurs principes de sécurité critiques ont été renforcés :

  • Approche confiance zéro : ne jamais approuver, toujours vérifier : préférer l’authentification basée sur l’identité par rapport aux clés d’accès et aux jetons
  • Défense en profondeur : implémenter plusieurs couches de contrôles de sécurité, notamment l’authentification, l’autorisation, le chiffrement et la protection des données
  • Accès avec privilège minimum : accordez uniquement les autorisations minimales nécessaires aux utilisateurs et aux applications pour effectuer leurs tâches requises
  • Séparation des tâches : utiliser différentes clés et mécanismes à différentes couches de chiffrement pour réduire le risque de compromission
  • Préparation de la conformité : tirez parti des fonctionnalités intégrées telles que les stratégies d’immuabilité, BYOK et le chiffrement d’infrastructure pour répondre aux exigences réglementaires

En appliquant ces concepts et bonnes pratiques, vous pouvez concevoir et implémenter des architectures de sécurité robustes pour stockage Azure qui protègent vos données tout au long de son cycle de vie tout en conservant l’efficacité opérationnelle et en respectant les obligations de conformité.