Azure NetApp Files 的安全性常見問題

發行項
01/29/2024

本文回答關於 Azure NetApp Files 安全性的常見問題（常見問題）。

Azure VM 與記憶體之間的網路流量是否可以加密？

Azure NetApp Files 數據流量原本就由設計保護，因為它不提供公用端點，而數據流量會保留在客戶擁有的 VNet 內。根據預設，數據進行中的加密不會加密。不過，從 Azure VM（執行 NFS 或 SMB 用戶端）到 Azure NetApp Files 的數據流量與任何其他 Azure-VM 對 VM 流量一樣安全。

NFSv3 通訊協定不支援加密，因此無法加密此傳輸中的數據。不過，可以選擇性地啟用NFSv4.1和SMB3資料內部加密。 NFSv4.1 用戶端與 Azure NetApp Files 磁碟區之間的數據流量可以使用 Kerberos 搭配 AES-256 加密來加密。如需詳細資訊，請參閱設定 Azure NetApp Files 的 NFSv4.1 Kerberos 加密。 SMB3 用戶端與 Azure NetApp Files 磁碟區之間的數據流量可以使用 SMB 3.0 上的 AES-CCM 演算法和 SMB 3.1.1 連線上的 AES-GCM 演演算法來加密。如需詳細資訊，請參閱建立 Azure NetApp Files 的 SMB 磁碟區。

記憶體是否可以待用加密？

所有 Azure NetApp Files 磁碟區都會使用 FIPS 140-2 標準加密。瞭解加密金鑰的管理方式。

Azure NetApp Files 跨區域和跨區域複寫流量是否加密？

Azure NetApp Files 跨區域和跨區域復寫會使用 TLS 1.2 AES-256 GCM 加密來加密來源磁碟區和目的地磁碟區之間傳輸的所有數據。此加密是預設針對所有 Azure 流量開啟的 Azure MACSec 加密，包括 Azure NetApp Files 跨區域和跨區域複寫。

如何管理加密金鑰？

根據預設，Azure NetApp Files 的金鑰管理是由服務使用平臺管理的金鑰來處理。系統會為每個磁碟區產生唯一的 XTS-AES-256 數據加密密鑰。加密金鑰階層可用來加密及保護所有磁碟區金鑰。這些加密金鑰永遠不會以未加密的格式顯示或報告。當您刪除磁碟區時，Azure NetApp Files 會立即刪除磁碟區的加密密鑰。

或者，您可以使用 Azure NetApp Files 磁碟區加密的客戶自控密鑰，其中金鑰會儲存在 Azure 金鑰保存庫。使用客戶管理的金鑰，您可以完全管理金鑰生命週期、金鑰使用許可權和金鑰稽核作業之間的關聯性。此功能已在支持的區域中正式推出。

此外，受控密鑰支援使用 Azure 專用 HSM 的客戶管理密鑰。目前支持位於美國東部、美國中南部、美國西部 2 和美國州長弗吉尼亞地區。您可以在要求存取 anffeedback@microsoft.com權。當容量可供使用時，將會核准要求。

我可以設定 NFS 導出原則規則來控制 Azure NetApp Files 服務掛接目標的存取嗎？

是，您可以在單一 NFS 匯出原則中設定最多五個規則。

我可以搭配 Azure NetApp Files 使用 Azure 角色型存取控制（RBAC）嗎？

是，Azure NetApp Files 支援 Azure RBAC 功能。除了內建的 Azure 角色之外，您還可以為 Azure NetApp Files 建立自定義角色。

如需 Azure NetApp Files 許可權的完整清單，請參閱的 Microsoft.NetAppAzure 資源提供者作業。

Azure NetApp Files 是否支援 Azure 活動記錄？

Azure NetApp Files 是 Azure 原生服務。系統會記錄所有針對 Azure NetApp Files 的 PUT、POST 和 DELETE API。例如，記錄會顯示活動，例如建立快照集的人員、修改磁碟區的人員等等。

如需 API 作業的完整清單，請參閱 Azure NetApp Files REST API。

我可以搭配 Azure NetApp Files 使用 Azure 原則嗎？

是，您可以建立自定義 Azure 原則。

不過，您無法在 Azure NetApp Files 介面上建立 Azure 原則（自定義命名原則）。請參閱適用於 Azure NetApp Files 網路方案的指導方針。

當我刪除 Azure NetApp Files 磁碟區時，數據是否安全刪除？

刪除 Azure NetApp Files 磁碟區會以程式設計方式執行，並立即生效。刪除作業包括刪除用於加密待用數據的金鑰。一旦成功執行刪除作業，任何案例都無法復原已刪除的磁碟區（透過 Azure 入口網站和 API 等介面。

Active Directory 連線 or 認證如何儲存在 Azure NetApp Files 服務上？

AD 連線 or 認證會以加密格式儲存在 Azure NetApp Files 控制平面資料庫中。所使用的加密演算法是 AES-256（單向）。

Azure NetApp Files 的安全性常見問題

Azure VM 與記憶體之間的網路流量是否可以加密？

記憶體是否可以待用加密？

Azure NetApp Files 跨區域和跨區域複寫流量是否加密？

如何管理加密金鑰？

我可以設定 NFS 導出原則規則來控制 Azure NetApp Files 服務掛接目標的存取嗎？

我可以搭配 Azure NetApp Files 使用 Azure 角色型存取控制（RBAC）嗎？

Azure NetApp Files 是否支援 Azure 活動記錄？

我可以搭配 Azure NetApp Files 使用 Azure 原則嗎？

當我刪除 Azure NetApp Files 磁碟區時，數據是否安全刪除？

Active Directory 連線 or 認證如何儲存在 Azure NetApp Files 服務上？

下一步

其他資源

Azure NetApp Files 的安全性常見問題

Azure VM 與記憶體之間的網路流量是否可以加密？

記憶體是否可以待用加密？

Azure NetApp Files 跨區域和跨區域複寫流量是否加密？

如何管理加密金鑰？

我可以設定 NFS 導出原則規則來控制 Azure NetApp Files 服務掛接目標的存取嗎？

我可以搭配 Azure NetApp Files 使用 Azure 角色型存取控制 （RBAC） 嗎？

Azure NetApp Files 是否支援 Azure 活動記錄？

我可以搭配 Azure NetApp Files 使用 Azure 原則嗎？

當我刪除 Azure NetApp Files 磁碟區時，數據是否安全刪除？

Active Directory 連線 or 認證如何儲存在 Azure NetApp Files 服務上？

下一步

其他資源

我可以搭配 Azure NetApp Files 使用 Azure 角色型存取控制（RBAC）嗎？