Activer la sécurité réseau pour les connecteurs d’objets blob de stockage Azure

Cet article fournit des instructions pas à pas sur l’activation de la sécurité réseau sur les ressources de stockage intégrées à votre connecteur de stockage Azure. Azure périmètre de sécurité réseau (NSP) est une fonctionnalité native Azure qui crée une limite d’isolation logique pour vos ressources PaaS. En associant des ressources telles que des comptes de stockage ou des bases de données à un fournisseur de services réseau, vous pouvez gérer de manière centralisée l’accès réseau à l’aide d’un ensemble de règles simplifié. Pour plus d’informations, consultez Concepts du périmètre de sécurité réseau.

Configuration requise

Avant d’activer la sécurité réseau, créez vos ressources de connecteur. Consultez Configurer votre connecteur de stockage Azure pour diffuser en continu les journaux vers Microsoft Sentinel, y compris la rubrique système Event Grid utilisée pour diffuser en continu des événements de création d’objets blob vers la file d’attente Azure Storage.

Pour effectuer cette configuration, vérifiez que vous disposez des autorisations suivantes :

  • Propriétaire de l’abonnement ou Contributeur pour créer des ressources de périmètre de sécurité réseau.
  • Contributeur de compte de stockage pour associer le compte de stockage au fournisseur de services réseau.
  • Administrateur ou propriétaire de l’accès utilisateur du compte de stockage pour attribuer des rôles RBAC à l’identité managée Event Grid.
  • Contributeur Event Grid pour activer l’identité managée et gérer les abonnements aux événements.

Activer la sécurité réseau

Pour activer la sécurité réseau sur les ressources de stockage intégrées à votre connecteur de stockage Azure, créez un périmètre de sécurité réseau (NSP), associez-y le compte de stockage et configurez les règles pour autoriser le trafic à partir d’Event Grid et d’autres sources requises tout en bloquant l’accès non autorisé. Procédez comme suit pour terminer la configuration.

Créer un périmètre de sécurité réseau

  1. Dans le Portail Azure, recherchez Périmètres de sécurité réseau

  2. Sélectionnez Créer.

  3. Sélectionnez un abonnement et un groupe de ressources.

  4. Entrez le nom, par exemple storageblob-connectors-nsp

  5. Sélectionnez une région. La région doit être la même que le compte de stockage.

  6. Entrez un nom de profil ou acceptez la valeur par défaut. Le profil définit l’ensemble des règles appliquées aux ressources associées. Vous pouvez avoir plusieurs profils au sein d’un même fournisseur de services réseau pour appliquer différentes règles à différentes ressources si nécessaire.

  7. Sélectionnez Vérifier + créer , puis Créer.

    Capture d’écran montrant la création d’un périmètre de sécurité réseau dans le Portail Azure.

Associer le compte de stockage au périmètre de sécurité réseau

  1. Ouvrez votre ressource de périmètre de sécurité réseau nouvellement créée dans le Portail Azure.

  2. Sélectionnez Profils, puis sélectionnez le nom de profil que vous avez utilisé lors de la création de la ressource NSP.

  3. Sélectionnez Ressources associées.

  4. Sélectionnez Ajouter.

  5. Recherchez et ajoutez votre compte de stockage, puis sélectionnez Sélectionner.

  6. Sélectionnez Associer.

Le mode d’accès est défini sur Transition par défaut, ce qui vous permet de valider la configuration avant d’appliquer des restrictions.

Capture d’écran montrant comment associer un compte de stockage au périmètre de sécurité réseau dans le Portail Azure.

Activer System-Assigned Identity sur la rubrique système Event Grid

  1. À partir de votre compte de stockage, accédez à l’onglet Événements .

  2. Sélectionnez la rubrique système utilisée pour diffuser en continu les événements de création d’objets blob vers la file d’attente de stockage.

    Capture d’écran montrant l’onglet Événement pour les comptes de stockage dans le Portail Azure.

  3. Sélectionnez Identité.

  4. Sous l’onglet Affecté par le système , définissez l’État sur Activé.

  5. Sélectionnez Enregistrer, puis copiez l’ID d’objet de l’identité managée pour une utilisation ultérieure.

    Capture d’écran montrant la création d’une identité managée pour une rubrique système Event Grid dans le Portail Azure.

Accorder des autorisations RBAC sur la file d’attente de stockage

  1. Accédez à votre compte de stockage.

  2. Sélectionnez Access Control (IAM).

  3. Sélectionnez Ajouter.

  4. Recherchez et sélectionnez le rôle Expéditeur de messages de file d’attente de données de stockage (étendue : le compte de stockage).

  5. Sélectionnez l’onglet Membres , puis Sélectionnez les membres.

  6. Dans le volet Sélectionner les membres , collez l’ID d’objet de l’identité managée de la rubrique système Event Grid créée à l’étape précédente.

  7. Sélectionnez l’identité managée, puis sélectionnez Sélectionner.

  8. Sélectionnez Vérifier + attribuer pour terminer l’attribution de rôle. Capture d’écran montrant l’attribution du rôle Expéditeur de messages de file d’attente de stockage à une identité managée dans le Portail Azure.

Activer l’identité managée sur l’abonnement aux événements

  1. Ouvrez la rubrique système Event Grid.

  2. Sélectionnez l’abonnement aux événements qui cible la file d’attente.

  3. Sélectionnez l’onglet Paramètres supplémentaires .

  4. Définissez Type d’identité managée sur Affecté par le système.

  5. Sélectionnez Enregistrer.

  6. Passez en revue les métriques d’abonnement Event Grid pour vérifier que les messages sont correctement publiés dans la file d’attente de stockage après cette mise à jour.

Capture d’écran montrant l’activation de l’identité managée pour un abonnement Event Grid dans le Portail Azure.

Configurer des règles d’accès entrant sur le profil de périmètre de sécurité réseau

Les règles suivantes sont requises pour permettre à Event Grid de remettre des messages au compte de stockage tout en bloquant l’accès non autorisé. Selon que le système envoie des données au compte de stockage ou accède aux ressources de stockage, vous devrez peut-être ajouter des règles de trafic entrant supplémentaires. Passez en revue votre scénario et vos modèles de trafic pour appliquer en toute sécurité les règles nécessaires et prévoir du temps pour la propagation des règles.

Règle 1 : Autoriser l’abonnement (remise Event Grid)

La remise d’Event Grid ne provient pas d’adresses IP publiques fixes. Le fournisseur de services réseau valide la remise à l’aide de l’identité d’abonnement.

  1. Accédez à Périmètre de sécurité réseau et sélectionnez votre NSP.

  2. Sélectionnez Profils , puis sélectionnez le profil associé à votre compte de stockage.

  3. Sélectionnez Règles d’accès entrant, puis Ajouter.

    Capture d’écran montrant la page Règles d’accès entrant dans le Portail Azure.

  4. Entrez un nom de règle, par exemple Allow-Subscription.

  5. Sélectionnez Abonnement dans la liste déroulante Type de source .

  6. Sélectionnez votre abonnement dans la liste déroulante Sources autorisées .

  7. Sélectionnez Ajouter pour créer la règle.

    Capture d’écran montrant la création d’une règle d’accès entrant pour autoriser un abonnement dans le Portail Azure.

Remarque

L’affichage des règles dans la liste peut prendre quelques minutes après leur création.

Règle 2 : Autoriser les plages d’adresses IP du service Scuba

  1. Créez une deuxième règle d’accès entrant.

  2. Entrez un nom de règle, par exemple Allow-Scuba.

  3. Sélectionnez Plages d’adresses IP dans la liste déroulante Type de source .

  4. Ouvrez la page de téléchargement de l’étiquette de service .

  5. Sélectionnez votre cloud, par exemple Azure Public.

  6. Sélectionnez le bouton Télécharger et ouvrez le fichier téléchargé pour obtenir la liste des plages d’adresses IP.

  7. Recherchez l’étiquette de Scuba service et copiez les plages IPv4 associées.

  8. Collez les plages IPv4 dans le champ Sources autorisées après avoir supprimé les guillemets et les virgules de fin.

  9. Sélectionnez Ajouter pour créer la règle.

    Importante

    Supprimez les guillemets des plages d’adresses IP et assurez-vous qu’il n’y a pas de virgule de fin sur la dernière entrée avant de les coller dans le champ Sources autorisées . Les plages d’étiquettes de service sont mises à jour au fil du temps ; actualiser régulièrement pour maintenir les règles à jour.

    Capture d’écran montrant une partie du fichier ServiceTags_Public.json avec l’étiquette de service Scuba et les plages IPv4 mises en évidence.

Valider et appliquer

Après avoir configuré les règles, surveillez les journaux de diagnostic pour le périmètre de sécurité réseau afin de vérifier que le trafic légitime est autorisé et qu’il n’y a aucune interruption. Une fois que vous avez confirmé que les règles autorisent correctement le trafic nécessaire, vous pouvez passer du mode Transition au mode Appliqué pour bloquer l’accès non autorisé.

Mode de transition

Activez les journaux de diagnostic du périmètre de sécurité réseau et passez en revue les données de télémétrie collectées pour valider les modèles de communication avant l’application. Pour plus d’informations, consultez Journaux de diagnostic pour le périmètre de sécurité réseau.

Appliquer le mode d’application

Une fois la validation réussie, définissez le mode d’accès sur Appliqué comme suit :

  1. Dans la page Périmètre de sécurité réseau, sous Paramètres, sélectionnez Ressources associées.

  2. Sélectionnez le compte de stockage.

  3. Sélectionnez Modifier le mode d’accès.

  4. Sélectionnez Appliqué, puis Enregistrer.

    Capture d’écran montrant comment modifier le mode d’accès d’un compte de stockage associé à un périmètre de sécurité réseau dans le Portail Azure.

Validation post-application

Après la mise en œuvre, surveillez de près l’environnement tout trafic bloqué susceptible d’indiquer des configurations incorrectes. Vérifiez que la configuration d’Event Grid n’est pas impactée en examinant les métriques d’abonnement à la rubrique système Event Grid.

Utilisez les journaux de diagnostic pour examiner et résoudre les problèmes qui surviennent. Passez en revue les métriques sur le compte de stockage (entrée et erreurs de file d’attente) et Event Grid (réussite de la remise) pour vérifier les éventuelles erreurs. Revenez au mode transition si vous rencontrez des interruptions et répétez l’examen à l’aide des journaux de diagnostic.

Définir sécurisé par périmètre sur le compte de stockage (facultatif)

La définition du compte de stockage sur Sécurisé par périmètre garantit que tout le trafic vers le compte de stockage est évalué par rapport aux règles de périmètre de sécurité réseau et bloque l’accès au réseau public.

  1. Accédez à votre compte de stockage.

  2. Sous Sécurité + mise en réseau, sélectionnez Mise en réseau.

  3. Sous Accès réseau public, sélectionnez Gérer.

  4. Définissez Sécurisé par périmètre (le plus restreint) .

  5. Sélectionnez Enregistrer.

Capture d’écran montrant comment définir un compte de stockage sur « Sécurisé par périmètre » dans le Portail Azure.

Étapes suivantes

Dans cet article, vous avez appris à activer la sécurité réseau sur les ressources de stockage intégrées à votre connecteur de stockage Azure. Pour plus d’informations, consultez les articles Périmètre de sécurité réseau .

  • Last updated on