Często zadawane pytania dotyczące zabezpieczeń usługi Azure NetApp Files

Artykuł
10/24/2023

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące zabezpieczeń usługi Azure NetApp Files.

Czy ruch sieciowy między maszyną wirtualną platformy Azure a magazynem może być zaszyfrowany?

Ruch danych usługi Azure NetApp Files jest z natury bezpieczny zgodnie z projektem, ponieważ nie zapewnia publicznego punktu końcowego, a ruch danych pozostaje w sieci wirtualnej należącej do klienta. Dane w locie nie są domyślnie szyfrowane. Jednak ruch danych z maszyny wirtualnej platformy Azure (z systemem NFS lub klientem SMB) do usługi Azure NetApp Files jest tak bezpieczny, jak każdy inny ruch z maszyny wirtualnej platformy Azure do maszyny wirtualnej.

Protokół NFSv3 nie zapewnia obsługi szyfrowania, więc nie można zaszyfrować tych danych w locie. Można jednak opcjonalnie włączyć szyfrowanie danych NFSv4.1 i SMB3 w locie. Ruch danych między klientami NFSv4.1 i woluminami usługi Azure NetApp Files można szyfrować przy użyciu protokołu Kerberos z szyfrowaniem AES-256. Aby uzyskać szczegółowe informacje, zobacz Configure NFSv4.1 Kerberos encryption for Azure NetApp Files (Konfigurowanie szyfrowania Kerberos w systemie plików NFSv4.1 dla usługi Azure NetApp Files ). Ruch danych między klientami SMB3 i woluminami usługi Azure NetApp Files można szyfrować przy użyciu algorytmu AES-CCM w środowisku SMB 3.0 oraz algorytmu AES-GCM w połączeniach SMB 3.1.1. Aby uzyskać szczegółowe informacje, zobacz Tworzenie woluminu SMB dla usługi Azure NetApp Files .

Czy magazyn może być zaszyfrowany w spoczynku?

Wszystkie woluminy usługi Azure NetApp Files są szyfrowane przy użyciu standardu FIPS 140-2. Dowiedz się , jak zarządzać kluczami szyfrowania.

Czy ruch związany z replikacją między regionami i między strefami jest szyfrowany?

Usługa Azure NetApp Files między regionami i replikacją między strefami używa szyfrowania TLS 1.2 AES-256 GCM w celu szyfrowania wszystkich danych przesyłanych między woluminem źródłowym a woluminem docelowym. To szyfrowanie jest dodatkiem do szyfrowania MACSec platformy Azure, które jest domyślnie włączone dla całego ruchu platformy Azure, w tym między regionami i replikacją między strefami usługi Azure NetApp Files.

Jak zarządzane są klucze szyfrowania?

Domyślnie zarządzanie kluczami dla usługi Azure NetApp Files jest obsługiwane przez usługę przy użyciu kluczy zarządzanych przez platformę. Dla każdego woluminu jest generowany unikatowy klucz szyfrowania danych XTS-AES-256. Hierarchia kluczy szyfrowania służy do szyfrowania i ochrony wszystkich kluczy woluminów. Te klucze szyfrowania nigdy nie są wyświetlane ani zgłaszane w formacie niezaszyfrowanym. Po usunięciu woluminu usługa Azure NetApp Files natychmiast usuwa klucze szyfrowania woluminu.

Alternatywnie klucze zarządzane przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files mogą służyć do przechowywania kluczy w usłudze Azure Key Vault. Za pomocą kluczy zarządzanych przez klienta można w pełni zarządzać relacją między cyklem życia klucza, uprawnieniami do użycia klucza i operacjami inspekcji kluczy. Funkcja jest ogólnie dostępna w obsługiwanych regionach.

Ponadto klucze zarządzane przez klienta przy użyciu dedykowanego modułu HSM platformy Azure są obsługiwane w sposób kontrolowany. Obsługa jest obecnie dostępna w regionach Wschodnie stany USA, Południowo-środkowe stany USA, Zachodnie stany USA 2 i US Gov Virginia. Możesz zażądać dostępu pod adresem anffeedback@microsoft.com. Gdy pojemność stanie się dostępna, żądania zostaną zatwierdzone.

Czy mogę skonfigurować reguły zasad eksportowania systemu plików NFS w celu kontrolowania dostępu do miejsca docelowego instalacji usługi Azure NetApp Files?

Tak, można skonfigurować maksymalnie pięć reguł w ramach jednej zasady eksportu systemu plików NFS.

Czy mogę używać kontroli dostępu opartej na rolach (RBAC) platformy Azure z usługą Azure NetApp Files?

Tak, usługa Azure NetApp Files obsługuje funkcje kontroli dostępu opartej na rolach platformy Azure. Oprócz wbudowanych ról platformy Azure można tworzyć role niestandardowe dla usługi Azure NetApp Files.

Aby uzyskać pełną listę uprawnień usługi Azure NetApp Files, zobacz Operacje dostawcy zasobów platformy Azure dla programu Microsoft.NetApp.

Czy dzienniki aktywności platformy Azure są obsługiwane w usłudze Azure NetApp Files?

Azure NetApp Files to natywna usługa platformy Azure. Wszystkie interfejsy API PUT, POST i DELETE względem usługi Azure NetApp Files są rejestrowane. Na przykład dzienniki pokazują działania, takie jak osoba, która utworzyła migawkę, która zmodyfikowała wolumin itd.

Aby uzyskać pełną listę operacji interfejsu API, zobacz Interfejs API REST usługi Azure NetApp Files.

Czy mogę używać zasad platformy Azure z usługą Azure NetApp Files?

Tak, możesz utworzyć niestandardowe zasady platformy Azure.

Nie można jednak utworzyć zasad platformy Azure (niestandardowych zasad nazewnictwa) w interfejsie usługi Azure NetApp Files. Zobacz Wytyczne dotyczące planowania sieci usługi Azure NetApp Files.

Czy po usunięciu woluminu usługi Azure NetApp Files dane są bezpiecznie usuwane?

Usunięcie woluminu usługi Azure NetApp Files jest wykonywane programowo z natychmiastowym skutkiem. Operacja usuwania obejmuje usuwanie kluczy używanych do szyfrowania danych magazynowanych. Nie ma możliwości odzyskania usuniętego woluminu po pomyślnym wykonaniu operacji usuwania (za pośrednictwem interfejsów, takich jak witryna Azure Portal i interfejs API).

W jaki sposób poświadczenia usługi Active Directory Połączenie or są przechowywane w usłudze Azure NetApp Files?

Poświadczenia Połączenie or usługi AD są przechowywane w bazie danych płaszczyzny sterowania usługi Azure NetApp Files w formacie zaszyfrowanym. Używany algorytm szyfrowania to AES-256 (jednokierunkowa).