Comprendre les risques des jetons SAS Azure

La responsabilité de la propriété et de la gestion des données n'est plus centralisée. Divers départements, unités commerciales et équipes manipulent en permanence des données, les utilisant pour atteindre leurs objectifs spécifiques. Cependant, une telle approche dispersée de la propriété des données peut rendre les entreprises vulnérables.

Une cause très probable de problèmes potentiels de cybersécurité est la divulgation de jetons Azure Shared Access Signature (SAS) dans des dépôts de code, d'autres sources de données ou lorsqu'ils sont partagés avec des tiers, ce qui peut alors permettre un accès public et une utilisation malveillante. Cela peut inclure des cas tels que la fuite d'informations confidentielles ou l'accès à des fichiers privilégiés. Dans ce blog, nous allons nous concentrer sur le type le plus courant : les jetons Account SAS (Azure).

Qu'est-ce qu'un jeton SAS Azure ?

Un jeton SAS (Shared Access Signature) est une chaîne unique de texte chiffré qui regroupe toutes les informations nécessaires pour authentifier une signature partagée afin d'accéder aux services de stockage Azure. Il détermine également quel service et quelle ressource peuvent être accessibles, les autorisations accordées et la période de validité de la signature.

Si l'on examine les spécificités de ces jetons, il existe 3 types de jetons SAS : Account SAS, Service SAS et User Delegation SAS. Ce blog se concentre spécifiquement sur les jetons Account SAS, car c'est ce type de jeton qui est utilisé pour accéder au stockage, ce qui constitue un point de défaillance critique (voire le plus critique) en matière de sécurité des données.

Jetons SAS de compte

Les jetons SAS sont des codes chiffrés sous forme d'URI (Identifiant Uniforme de Ressource) qui accordent des droits d'accès spécifiques à une ou plusieurs ressources de stockage Azure, telles qu'Azure Blob Storage, Azure File Storage et Azure Queue Storage. Par rapport à d'autres jetons, cet accès étendu signifie qu'il est crucial de manipuler l'Account SAS avec précaution afin d'éviter tout accès non autorisé aux données.

De plus, l’efficacité d’un jeton SAS réside dans sa signature, un paramètre spécial ajouté à l’URI de la ressource de stockage. Ce système garantit un accès contrôlé sans divulguer d’informations sensibles, ce qui est essentiel lorsque les utilisateurs ont besoin d’un accès sans pour autant disposer de permissions globales. Azure Storage vérifie ensuite cette signature pour autoriser l’accès et permet aux clients d’accéder directement aux ressources spécifiées pendant une durée déterminée. Une fois expiré, un nouveau jeton est nécessaire.

Comme indiqué dans la documentation de Microsoft, voici un exemple de jeton SAS dans une URI :

Une fois le jeton généré, les utilisateurs peuvent se voir accorder des autorisations telles que la lecture et/ou l'écriture. Il existe deux cas d'utilisation notables :

• Les clients peuvent télécharger et téléverser des données via un service proxy frontal qui authentifie la signature.
• Un service spécifique authentifie l'utilisateur, puis génère un code SAS de compte pour accéder directement aux ressources du compte de stockage.

Quels sont les risques liés à l'utilisation des jetons SAS ?

Bien que les jetons SAS de compte soient extrêmement utiles pour accéder aux ressources de stockage, il existe un certain nombre de risques que les entreprises doivent prendre en compte.‍

Suivi des jetons générés. L’un des principaux défis réside dans le manque de visibilité inhérent sur le nombre de jetons actuellement en circulation. Une fois les jetons générés, ils peuvent être accessibles et utilisés par toute entité non autorisée.‍

Horodatages plus longs que prévu. Deuxièmement, il existe un risque que les utilisateurs définissent des dates d'expiration excessivement longues lors de la génération de jetons, ce qui rend les données vulnérables pendant des périodes plus longues que prévu initialement. Des interruptions de service peuvent également survenir lorsque les jetons expirent, impactant tous les services qui en dépendent. ‍

Une fois généré, un jeton SAS ne peut pas être révoqué. Pour éviter de telles erreurs humaines, il est recommandé de définir une durée de vie courte pour la date et l'heure de début et d'expiration de la clé signée. ‍

Autorisations erronées. Pour aggraver ces problèmes, les jetons SAS peuvent accorder plus d'accès que prévu initialement. Par exemple, un utilisateur souhaitant fournir l'accès à un fichier spécifique peut, par inadvertance, créer un jeton SAS qui permet l'accès à l'ensemble du conteneur de stockage associé, y compris tous les fichiers qu'il contient. De même, un utilisateur souhaitant fournir un accès « lecture » à des fichiers peut, par inadvertance, créer un jeton SAS qui accorde des autorisations « écriture » ou « gestion » au lieu de simplement « lecture », de sorte que toute personne disposant du jeton peut écrire et gérer le compte de stockage.

Examinons quelques bonnes pratiques pour éviter des autorisations incorrectes et l’exposition d’accès non autorisés.

Meilleures pratiques pour travailler avec les jetons SAS Azure

Nous recommandons un certain nombre de bonnes pratiques lors de l'utilisation des jetons SAS Azure :‍

Appliquer le principe du moindre privilège :

• Limitez les jetons SAS aux ressources essentielles (par exemple, un seul blob).
• N'accordez que les autorisations nécessaires (par exemple, en lecture seule).
  

Utiliser un SAS à durée de vie courte :

• Appliquez une durée d'expiration plus courte pour les jetons SAS et demandez aux clients de solliciter de nouveaux jetons SAS lorsque cela est nécessaire.
• Rafraîchissez les jetons SAS selon la durée recommandée par Microsoft : 1 heure ou moins.
  

Manipulez le SAS avec précaution :

• Considérez les jetons SAS comme confidentiels.
• Ne partagez qu'avec les clients qui ont besoin d'accéder à un compte de stockage.
  

Stratégie de révocation :

• Liez les jetons SAS à une stratégie d'accès stockée pour pouvoir les révoquer plus facilement.
• Soyez prêt à supprimer la stratégie d'accès stockée ou à modifier les clés du compte de stockage en cas de fuite.
  

Surveiller et auditer :

• Activez Azure Monitor et les journaux de stockage pour surveiller l'accès au compte de stockage.
• Mettez en place une politique d'expiration SAS pour identifier l'utilisation de SAS à longue durée de vie.

En plus de toutes ces bonnes pratiques standard, Cyera propose des actions spécifiques que votre organisation peut mettre en place dès aujourd'hui pour garantir l'utilisation sécurisée des jetons SAS.

Comment Cyera peut vous aider

Comme expliqué précédemment, l'utilisation de jetons SAS pour permettre l'accès à vos données introduit des risques potentiels de perte de données. Puisqu'il n'est pas possible de révoquer un jeton SAS spécifique, les organisations peuvent faire pivoter la clé d'accès du compte de stockage, ce qui invalide tous les jetons et pas seulement les jetons SAS associés au compte de stockage. Malheureusement, le principal problème de cette solution alternative est la dégradation du service.

Alternativement, Cyera propose une approche multidimensionnelle pour les entreprises qui cherchent à gérer et sécuriser leurs jetons SAS, garantissant qu'ils sont utilisés de manière appropriée et en toute sécurité.

Visibilité sur les jetons SAS. Cyera peut analyser un large éventail de datastores IaaS, PaaS et SaaS et identifier les jetons SAS Azure dans les données structurées et non structurées, telles que les bases de données et les fichiers au sein de Microsoft 365 et de divers services de stockage cloud. Cela permet d’avoir une visibilité sur la présence et l’emplacement des jetons SAS.‍

Audit de l'accès aux jetons SAS. Cyera peut fournir des informations sur les utilisateurs, groupes et autres identités pouvant accéder aux magasins de données ou aux fichiers contenant des jetons SAS, ainsi que sur la raison pour laquelle ces identités ont accès à ces données.

‍Détection de mauvaise localisation. Cyera peut signaler lorsque des jetons sont trouvés dans des environnements moins sécurisés. Par exemple, certaines entreprises peuvent décider que les jetons SAS ne doivent résider que dans certains environnements de production. Si les jetons SAS se retrouvent dans un environnement de développement avec un accès ouvert à de nombreux employés, cela peut enfreindre les politiques de l'entreprise et déclencher une alerte.  ‍

Détection de création de jetons non autorisée. Cyera peut générer une alerte lorsqu'un compte de stockage Azure dispose de permissions étendues permettant à des utilisateurs non autorisés de créer des jetons SAS. Les équipes de sécurité peuvent définir des politiques pour surveiller et limiter ces permissions, et ainsi garantir un environnement de stockage plus sûr.‍

Détection de jetons non protégés. Cyera peut générer une alerte lorsque des jetons SAS sont trouvés dans un espace de stockage avec un accès public ou si le jeton SAS lui-même est exposé en clair, permettant à toute personne ayant accès à l’espace de stockage d’utiliser le jeton.‍

Conclusion

La génération ou l'exposition inappropriée de jetons SAS Azure Storage peut représenter un risque majeur pour la sécurité de vos données sensibles. Cyera aide à atténuer ces risques en améliorant la visibilité, l'auditabilité et la détection des expositions de jetons SAS.‍

Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation, et appliquant plusieurs couches de défense. Parce que Cyera applique un contexte de données approfondi de manière holistique à l'ensemble de votre paysage de données, nous sommes la seule solution capable de permettre aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose aux risques, et de prendre des mesures immédiates pour remédier aux expositions et assurer la conformité sans perturber l'activité de l'entreprise.

Pour en savoir plus sur la façon de sécuriser vos données, planifiez une démonstration dès aujourd'hui.