Häufig gestellte Fragen zur Sicherheit von Azure NetApp Files

  • Artikel

In diesem Artikel werden häufig gestellte Fragen zur Sicherheit von Azure NetApp Files beantwortet.

Kann der Netzwerkdatenverkehr zwischen Azure-VM und Speicher verschlüsselt werden?

Der Datenverkehr von Azure NetApp Files ist von Grund auf sicher, da er keinen öffentlichen Endpunkt bereitstellt und der Datenverkehr innerhalb des kundeneigenen VNet verbleibt. Daten während der Übertragung werden nicht standardmäßig verschlüsselt. Der Datenverkehr von einer Azure-VM (auf der ein NFS- oder SMB-Client ausgeführt wird) zu Azure NetApp Files ist jedoch so sicher wie jeder andere Datenverkehr zwischen Azure-VMs.

Das NFSv3-Protokoll bietet keine Unterstützung für die Verschlüsselung, sodass diese Daten in Flight nicht verschlüsselt werden können. NFSv4.1- und SMB3-Verschlüsselung von Daten während der Übertragung kann jedoch optional aktiviert werden. Der Datenverkehr zwischen NFSv4.1-Clients und Azure NetApp Files-Volumes kann mit Kerberos per AES-256-Verschlüsselung verschlüsselt werden. Weitere Informationen finden Sie unter Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung für Azure NetApp Files. Der Datenverkehr zwischen SMB3-Clients und Azure NetApp Files-Volumes kann mithilfe des AES-CCM-Algorithmus für SMB 3.0- und mit dem AES-GCM-Algorithmus für SMB 3.1.1-Verbindungen verschlüsselt werden. Ausführliche Informationen finden Sie unter Erstellen eines SMB-Volumes für Azure NetApp Files.

Kann der Speicher im Ruhezustand verschlüsselt werden?

Alle Azure NetApp Files-Volumes werden mit dem FIPS 140-2-Standard verschlüsselt. Erfahren Sie , wie Verschlüsselungsschlüssel verwaltet werden.

Werden azure NetApp Files regions- und zonenübergreifender Replikationsdatenverkehr verschlüsselt?

Azure NetApp Files cross-region and cross-zone replication uses TLS 1.2 AES-256 GCM encryption to encrypt all data transfer between the source volume and destination volume. Diese Verschlüsselung ist zusätzlich zur Azure MACSec-Verschlüsselung aktiviert, die standardmäßig für den gesamten Azure-Datenverkehr aktiviert ist, einschließlich Azure NetApp Files cross-region and cross-zone replication.

Wie werden Verschlüsselungsschlüssel verwaltet?

Standardmäßig wird die Schlüsselverwaltung für Azure NetApp Files vom Dienst mithilfe von plattformverwalteten Schlüsseln behandelt. Für jedes Volume wird ein eindeutiger XTS-AES-256-Datenverschlüsselungsschlüssel generiert. Zum Verschlüsseln und Schützen aller Volumeschlüssel wird eine Verschlüsselungsschlüsselhierarchie verwendet. Diese Verschlüsselungsschlüssel werden niemals in unverschlüsseltem Format angezeigt oder gemeldet. Wenn Sie ein Volume löschen, löscht Azure NetApp Files sofort die Verschlüsselungsschlüssel des Volumes.

Alternativ können vom Kunden verwaltete Schlüssel für die Volumeverschlüsselung für Azure NetApp Files verwendet werden, in denen Schlüssel im Azure Key Vault gespeichert werden. Mit vom Kunden verwalteten Schlüsseln können Sie die Beziehung zwischen dem Lebenszyklus eines Schlüssels, Schlüsselnutzungsberechtigungen und Überwachungsvorgängen für Schlüssel vollständig verwalten. Das Feature ist allgemein verfügbar (GA) in unterstützten Regionen.

Darüber hinaus werden vom Kunden verwaltete Schlüssel mit Azure Dedicated HSM auf kontrollierter Basis unterstützt. Der Support ist derzeit in den Regionen East US, South Central US, West US 2 und US Gov Virginia verfügbar. Sie können den Zugriff unter anffeedback@microsoft.com anfordern. Entsprechend der zunehmenden Verfügbarkeit von Kapazitäten werden Anforderungen genehmigt.

Kann ich Regeln für NFS-Exportrichtlinien konfigurieren, um den Zugriff auf das Azure NetApp Files-Diensteinbindungsziel zu steuern?

Ja, Sie können bis zu fünf Regeln in einer einzigen NFS-Exportrichtlinie konfigurieren.

Kann ich azure role-based access control (RBAC) mit Azure NetApp Files verwenden?

Ja, Azure NetApp Files unterstützt Azure RBAC-Features. Neben den integrierten Azure-Rollen können benutzerdefinierte Rollen für Azure NetApp Files erstellt werden.

Eine vollständige Liste der Azure NetApp Files-Berechtigungen finden Sie in den Azure-Ressourcenanbietervorgängen für Microsoft.NetApp.

Werden Azure-Aktivitätsprotokolle für Azure NetApp Files unterstützt?

Bei Azure NetApp Files handelt es sich um einen nativen Azure-Dienst. All PUT-, POST- und DELETE-APIs für Azure NetApp Files werden protokolliert. Die Protokolle geben beispielsweise Aufschluss darüber, wer die Momentaufnahme erstellt oder das Volume geändert hat.

Eine vollständige Liste der API-Vorgänge finden Sie unter Azure NetApp Files-REST-API.

Kann ich Azure-Richtlinien mit Azure NetApp Files verwenden?

Ja. Sie können benutzerdefinierte Azure-Richtlinien erstellen.

Sie können jedoch keine Azure-Richtlinien (benutzerdefinierte Benennungsrichtlinien) auf der Azure NetApp Files-Schnittstelle erstellen. Lesen Sie den Artikel mit den Richtlinien für die Azure NetApp Files-Netzwerkplanung.

Werden die Daten sicher gelöscht, wenn ich ein Azure NetApp Files-Volume lösche?

Das Löschen eines Azure NetApp Files-Volumes erfolgt programmgesteuert und mit sofortiger Wirkung. Der Löschvorgang umfasst das Löschen von Schlüsseln, die zum Verschlüsseln der ruhenden Daten verwendet werden. Es gibt keine Möglichkeit, ein gelöschtes Volume wiederherzustellen, nachdem der Löschvorgang erfolgreich ausgeführt wurde (über Schnittstellen wie das Azure-Portal und die API).

Wie werden die Active Directory Connector-Anmeldeinformationen im Azure NetApp Files-Dienst gespeichert?

Die AD Connector-Anmeldeinformationen werden in der Datenbank auf Azure NetApp Files-Steuerungsebene in einem verschlüsselten Format gespeichert. Der verwendete Verschlüsselungsalgorithmus ist AES-256 (unidirektional).

Nächste Schritte