Share via

Azure NetApp Files double encryption at rest

  • Artikel

Standardmäßig verwenden Azure NetApp Files-Kapazitätspools ruhende Verschlüsselung. Wenn Sie einen Kapazitätspool erstellen, haben Sie die Möglichkeit, ruhende Doppelverschlüsselung für die Volumes im Kapazitätspool zu verwenden. Sie können dies tun, indem Sie den Verschlüsselungstyp für den von Ihnen erstellten Kapazitätspool auswählendouble.

Kritische Daten werden häufig an Orten wie Finanzinstituten, Militärbenutzern, Geschäftskundendaten, Regierungsdaten, Krankenakten, Krankenakten usw. gefunden. Während eine einzelne ruhende Verschlüsselung für einige Daten als ausreichend angesehen werden kann, sollten Sie für Daten, bei denen eine Vertraulichkeitsverletzung katastrophal wäre, eine doppelte Verschlüsselung im Ruhezustand verwenden. Datenlecks wie vertrauliche Kundendaten, Namen, Adressen und Behördenidentifikation können zu einer extrem hohen Haftung führen, und es kann dadurch abgemildert werden, dass die Vertraulichkeit der Daten durch die doppelte Verschlüsselung ruhender Daten geschützt wird.

Wenn Daten über Netzwerke transportiert werden, kann eine zusätzliche Verschlüsselung wie Transport Layer Security (TLS) dazu beitragen, die Übertragung von Daten zu schützen. Sobald die Daten jedoch eingetroffen sind, hilft der Schutz dieser ruhenden Daten dazu, die Sicherheitsanfälligkeit zu beheben. Die Verwendung von Azure NetApp Files double encryption at rest ergänzt die Sicherheit, die dem physisch sicheren Cloudspeicher in Azure-Rechenzentren inhärent ist.

Azure NetApp Files double encryption at rest provides two levels of encryption protection: both a hardware-based encryption layer (encrypted SSD drives) and a software-encryption layer. Die hardwarebasierte Verschlüsselungsebene befindet sich auf physischer Speicherebene mit FIPS 140-2 zertifizierten Laufwerken. Die softwarebasierte Verschlüsselungsebene befindet sich auf Volumeebene, die die zweite Stufe des Verschlüsselungsschutzes abschließt.

Wenn Sie dieses Feature zum ersten Mal verwenden, müssen Sie sich für das Feature registrieren und dann einen Kapazitätspool mit doppelter Verschlüsselung erstellen. Ausführliche Informationen finden Sie unter Erstellen eines Kapazitätspools für Azure NetApp Files.

Wenn Sie ein Volume in einem Kapazitätspool mit doppelter Verschlüsselung erstellen, lautet Microsoft Managed Keydie Standardschlüsselverwaltung (das Schlüsselquellfeld verschlüsselung) und die andere Wahl.Customer Managed Key Die Verwendung von vom Kunden verwalteten Schlüsseln erfordert zusätzliche Vorbereitungen eines Azure Key Vault und anderer Details. Weitere Informationen zur Verwendung der Volumeverschlüsselung mit vom Kunden verwalteten Schlüsseln finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln für die Volumeverschlüsselung von Azure NetApp Files.

Screenshot of the Create Volume page in a double-encryption capacity pool.

Unterstützte Regionen

Azure NetApp Files double encryption at rest is supported for the following regions:

  • Australien, Mitte
  • Australien, Mitte 2
  • Australien (Osten)
  • Australien, Südosten
  • Brasilien Süd
  • Kanada, Mitte
  • USA, Mitte
  • Asien, Osten
  • East US
  • USA (Ost) 2
  • Frankreich, Mitte
  • Deutschland, Westen-Mitte
  • Japan, Osten
  • Korea, Mitte
  • USA Nord Mitte
  • Nordeuropa
  • Norwegen, Osten
  • Katar, Mitte
  • Südafrika, Norden
  • USA, Süd Mitte
  • Schweiz, Norden
  • Vereinigte Arabische Emirate, Norden
  • UK, Süden
  • UK, Westen
  • Europa, Westen
  • USA (Westen)
  • USA, Westen 2
  • USA, Westen 3

Überlegungen

  • Azure NetApp Files double encryption at rest supports Standard network features, but not Basic network features.
  • Die Kosten für die Verwendung von Azure NetApp Files double encryption at rest, see the Azure NetApp Files pricing page.
  • Sie können Volumes in einem Kapazitätspool mit einer einzigen Verschlüsselung nicht konvertieren, um die ruhende Doppelverschlüsselung zu verwenden. Sie können Daten jedoch in einem Volume mit einer einzigen Verschlüsselung in ein Volume kopieren, das in einem Kapazitätspool erstellt wurde, der mit doppelter Verschlüsselung konfiguriert ist.
  • Für Kapazitätspools, die mit ruhender doppelter Verschlüsselung erstellt wurden, sind Volumenamen im Kapazitätspool nur für Volumebesitzer für maximale Sicherheit sichtbar.
  • Die Verwendung der doppelten Verschlüsselung im Ruhezustand hat möglicherweise Auswirkungen auf die Leistung basierend auf dem Workloadtyp und der Häufigkeit. Die Auswirkungen auf die Leistung können je nach Workloadprofil mindestens 1 bis 2 % betragen.

Nächste Schritte