Partager via


FAQ sur la sécurité dans Azure NetApp Files

Cet article contient les réponses à certaines questions fréquemment posées sur la sécurité dans Azure NetApp Files.

Le trafic réseau entre la machine virtuelle Azure et le stockage peut-il être chiffré ?

Le trafic des données Azure NetApp Files est naturellement sécurisé par conception, car il ne propose pas de point de terminaison public et le trafic de données reste au sein du réseau virtuel appartenant au client. Les données à la volée ne sont pas chiffrées par défaut. Toutefois, le trafic des données d’une machine virtuelle Azure (exécutant un client SMB ou NFS) vers Azure NetApp Files est aussi sécurisé que tout autre trafic entre machines virtuelles Azure.

Le protocole NFSv3 ne prend pas en charge le chiffrement. Ces données ne peuvent donc pas être chiffrées. Toutefois, le chiffrement des données à la volée NFSv4.1 et SMB3 peut être activé. Le trafic de données entre les clients NFSv4.1 et les volumes Azure NetApp Files peut être chiffré à l’aide de Kerberos avec le chiffrement AES-256. Pour plus d’informations, consultez Configurer le chiffrement Kerberos NFSv4.1 pour Azure NetApp Files. Le trafic de données entre les clients SMB3 et les volumes Azure NetApp Files peut être chiffré à l’aide de l’algorithme AES-CCM sur SMB 3.0 et de l’algorithme AES-GCM sur les connexions SMB 3.1.1. Pour plus d’informations, consultez Créer un volume SMB pour Azure NetApp Files.

Le stockage peut-il être chiffré au repos ?

Tous les volumes Azure NetApp Files sont chiffrés en suivant la norme FIPS 140-2. Découvrez comment les clés de chiffrement sont gérées.

Le trafic de réplication inter-région et interzone Azure NetApp Files est-il chiffré ?

La réplication inter-région et interzone Azure NetApp Files utilise le chiffrement TLS 1.2 AES-256 GCM pour chiffrer toutes les données transférées entre le volume source et le volume de destination. Ce chiffrement s’ajoute au chiffrement Azure MACSec qui est activé par défaut pour l’ensemble du trafic Azure, notamment la réplication inter-région et interzone Azure NetApp Files.

Comment les clés de chiffrement sont-elles gérées ?

Par défaut, la gestion des clés pour Azure NetApp Files est assurée par le service en utilisant des clés gérées par la plateforme. Une clé de chiffrement de données XTS-AES-256 unique est générée pour chaque volume. Une hiérarchie de clés de chiffrement est utilisée pour chiffrer et protéger toutes les clés de volume. Ces clés de chiffrement ne sont jamais affichées ou indiquées dans un format non chiffré. Lorsque vous supprimez un volume, Azure NetApp Files supprime immédiatement les clés de chiffrement du volume.

Il est également possible d’utiliser les clés gérées par le client pour le chiffrement de volume Azure NetApp Files lorsque ces clés sont stockées dans Azure Key Vault. Avec les clés gérées par le client, vous pouvez gérer entièrement la relation entre le cycle de vie d’une clé, les autorisations d’utilisation des clés et les opérations d’audit sur les clés. La fonctionnalité est en disponibilité générale (GA) dans les régions prises en charge. Le chiffrement du volume Azure NetApp Files avec des clés gérées par le client avec le module de sécurité matérielle géré est une extension de cette fonctionnalité, vous permettant de stocker vos clés de chiffrement dans un HSM FIPS 140-2 de niveau 3 plus sécurisé au lieu du service FIPS 140-2 de niveau 1 ou 2 utilisé par Azure Key Vault.

Azure NetApp Files prend en charge la possibilité de déplacer des volumes existants à l’aide de clés gérées par la plateforme vers des clés gérées par le client. Une fois la transition terminée, vous ne pouvez pas revenir aux clés gérées par la plateforme. Pour plus d’informations, consultez Transition d’un volume Azure NetApp Files vers des clés gérées par le client.

Puis-je configurer les règles de stratégie d’exportation NFS pour contrôler l’accès à la cible de montage du service Azure NetApp Files ?

Oui, vous pouvez configurer jusqu'à cinq règles dans une même stratégie d’exportation NFS.

Puis-je utiliser le contrôle d’accès en fonction du rôle (RBAC) Azure avec Azure NetApp Files ?

Oui, Azure NetApp Files prend en charge les fonctionnalités Azure RBAC. Avec les rôles Azure intégrés, vous pouvez créer des rôles personnalisés pour Azure NetApp files.

Pour obtenir la liste complète des autorisations Azure NetApp Files, consultez les opérations de fournisseur de ressources Azure pour Microsoft.NetApp.

Les journaux d’activité Azure sont-ils pris en charge sur Azure NetApp Files ?

Azure NetApp Files est un service natif Azure. Toutes les API PUT, POST et DELETE opérant sur Azure NetApp Files sont journalisées. Par exemple, les journaux présentent des activités indiquant, par exemple, qui a créé la capture instantanée, qui a modifié le volume, et ainsi de suite.

Pour obtenir la liste complète des opérations API, consultez API REST Azure NetApp Files.

Puis-je utiliser des stratégies Azure avec Azure NetApp Files ?

Oui, vous pouvez créer des stratégies Azure personnalisées.

En revanche, vous ne pouvez pas créer de stratégies Azure (stratégies de nommage personnalisées) sur l’interface Azure NetApp Files. Consultez Consignes pour planifier un réseau Azure NetApp Files.

Lorsque je supprime un volume Azure NetApp Files, les données sont-elles supprimées en toute sécurité ?

La suppression d'un volume Azure NetApp Files est effectuée par programmation avec effet immédiat. L’opération de suppression comprend la suppression des clés utilisées pour chiffrer les données au repos. Il n’existe aucune option pour un scénario de récupération d’un volume supprimé une fois l’opération de suppression exécutée avec succès (via des interfaces telles que le portail Azure et l’API).

Comment les informations d’identification du connecteur Active Directory sont-elles stockées sur le service Azure NetApp Files ?

Les informations d’identification du connecteur AD sont stockées dans la base de données du plan de contrôle Azure NetApp Files au format chiffré. L’algorithme de chiffrement utilisé est AES-256 (unidirectionnel).

Étapes suivantes