Domande frequenti sulla sicurezza per Azure NetApp Files

Articolo
10/24/2023

Questo articolo risponde alle domande frequenti sulla sicurezza di Azure NetApp Files.

Il traffico di rete tra la macchina virtuale di Azure e l'archiviazione può essere crittografato?

Il traffico dei dati di Azure NetApp Files è intrinsecamente sicuro per impostazione predefinita, perché non fornisce un endpoint pubblico e il traffico dei dati rimane all'interno della rete virtuale di proprietà del cliente. I dati in anteprima non vengono crittografati per impostazione predefinita. Tuttavia, il traffico di dati da una macchina virtuale di Azure (che esegue un client NFS o SMB) ad Azure NetApp Files è sicuro come qualsiasi altro traffico da macchina virtuale a macchina virtuale di Azure.

Il protocollo NFSv3 non fornisce supporto per la crittografia, quindi non è possibile crittografare questi dati in anteprima. È tuttavia possibile abilitare facoltativamente la crittografia dati in anteprima NFSv4.1 e SMB3. Il traffico di dati tra i client NFSv4.1 e i volumi di Azure NetApp Files può essere crittografato usando Kerberos con crittografia AES-256. Per informazioni dettagliate, vedere Configurare la crittografia Kerberos NFSv4.1 per Azure NetApp Files . Il traffico di dati tra i client SMB3 e i volumi di Azure NetApp Files può essere crittografato usando l'algoritmo AES-CCM in SMB 3.0 e l'algoritmo AES-GCM nelle connessioni SMB 3.1.1. Per informazioni dettagliate, vedere Creare un volume SMB per Azure NetApp Files .

Lo spazio di archiviazione può essere crittografato inattivo?

Tutti i volumi di Azure NetApp Files vengono crittografati usando lo standard FIPS 140-2. Informazioni sulla gestione delle chiavi di crittografia.

Azure NetApp Files è crittografato tra aree e traffico di replica tra zone?

La replica tra aree e tra aree di Azure NetApp Files usa la crittografia TLS 1.2 AES-256 GCM per crittografare tutti i dati trasferiti tra il volume di origine e il volume di destinazione. Questa crittografia è oltre alla crittografia MACSec di Azure attivata per impostazione predefinita per tutto il traffico di Azure, tra cui Azure NetApp Files tra aree e replica tra zone.

Come vengono gestite le chiavi di crittografia?

Per impostazione predefinita, la gestione delle chiavi per Azure NetApp Files viene gestita dal servizio, usando chiavi gestite dalla piattaforma. Per ogni volume viene generata una chiave di crittografia dei dati XTS-AES-256 univoca. Una gerarchia di chiavi di crittografia viene usata per crittografare e proteggere tutte le chiavi del volume. Queste chiavi di crittografia non vengono mai visualizzate o segnalate in un formato non crittografato. Quando si elimina un volume, Azure NetApp Files elimina immediatamente le chiavi di crittografia del volume.

In alternativa, le chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files possono essere usate in cui le chiavi vengono archiviate in Azure Key Vault. Con le chiavi gestite dal cliente, è possibile gestire completamente la relazione tra il ciclo di vita di una chiave, le autorizzazioni di utilizzo delle chiavi e le operazioni di controllo sulle chiavi. La funzionalità è disponibile a livello generale nelle aree supportate.

Inoltre, le chiavi gestite dal cliente che usano il modulo di protezione hardware dedicato di Azure sono supportate su base controllata. Il supporto è attualmente disponibile nelle aree Stati Uniti orientali, Stati Uniti centro-meridionali, Stati Uniti occidentali 2 e US Gov Virginia. È possibile richiedere l'accesso all'indirizzo anffeedback@microsoft.com. Man mano che la capacità diventa disponibile, le richieste verranno approvate.

È possibile configurare le regole dei criteri di esportazione NFS per controllare l'accesso alla destinazione di montaggio del servizio Azure NetApp Files?

Sì, è possibile configurare fino a cinque regole in un singolo criterio di esportazione NFS.

È possibile usare il controllo degli accessi in base al ruolo di Azure con Azure NetApp Files?

Sì, Azure NetApp Files supporta le funzionalità controllo degli accessi in base al ruolo di Azure. Oltre ai ruoli predefiniti di Azure, è possibile creare ruoli personalizzati per Azure NetApp Files.

Per l'elenco completo delle autorizzazioni di Azure NetApp Files, vedere Operazioni del provider di risorse di Azure per Microsoft.NetApp.

I log attività di Azure sono supportati in Azure NetApp Files?

Azure NetApp Files è un servizio nativo di Azure. Vengono registrate tutte le API PUT, POST e DELETE in Azure NetApp Files. Ad esempio, i log mostrano attività come chi ha creato lo snapshot, chi ha modificato il volume e così via.

Per l'elenco completo delle operazioni API, vedere API REST di Azure NetApp Files.

È possibile usare i criteri di Azure con Azure NetApp Files?

Sì, è possibile creare criteri di Azure personalizzati.

Tuttavia, non è possibile creare criteri di Azure (criteri di denominazione personalizzati) nell'interfaccia di Azure NetApp Files. Vedere Linee guida per la pianificazione della rete per Azure NetApp Files.

Quando si elimina un volume di Azure NetApp Files, i dati vengono eliminati in modo sicuro?

L'eliminazione di un volume di Azure NetApp Files viene eseguita a livello di codice con effetto immediato. L'operazione di eliminazione include l'eliminazione di chiavi usate per crittografare i dati inattivi. Non esiste alcuna opzione per qualsiasi scenario per ripristinare un volume eliminato dopo l'esecuzione dell'operazione di eliminazione (tramite interfacce come il portale di Azure e l'API.

Come vengono archiviate le credenziali di Active Directory Connessione or nel servizio Azure NetApp Files?

Le credenziali del Connessione or di AD vengono archiviate nel database del piano di controllo di Azure NetApp Files in un formato crittografato. L'algoritmo di crittografia usato è AES-256 (unidirezionale).