Condividi tramite


Domande frequenti sulla sicurezza per Azure NetApp Files

Questo articolo contiene le risposte alle domande frequenti sulla sicurezza di Azure NetApp Files.

Il traffico di rete tra la macchina virtuale di Azure e l'archiviazione può essere crittografato?

Il traffico di dati di Azure NetApp Files è intrinsecamente sicuro per impostazione predefinita, perché non fornisce un endpoint pubblico e il traffico dei dati rimane all'interno della rete virtuale di proprietà del cliente. I dati in anteprima non vengono crittografati per impostazione predefinita. Tuttavia, il traffico di dati da una macchina virtuale di Azure (che esegue un client NFS o SMB) ad Azure NetApp Files è sicuro come qualsiasi altro traffico da macchina virtuale a macchina virtuale di Azure.

Il protocollo NFSv3 non fornisce supporto per la crittografia, quindi non è possibile crittografare questi dati in anteprima. Tuttavia, la crittografia dei dati in anteprima NFSv4.1 e SMB3 può essere abilitata facoltativamente. Il traffico di dati tra i client NFSv4.1 e i volumi di Azure NetApp Files può essere crittografato usando Kerberos con crittografia AES-256. Per maggiori dettagli, vedere Configurare la crittografia Kerberos NFS v4.1 per Azure NetApp Files. Il traffico di dati tra i client SMB3 e i volumi di Azure NetApp Files può essere crittografato usando l'algoritmo AES-CCM in SMB 3.0 e l'algoritmo AES-GCM nelle connessioni SMB 3.1.1. Per maggiori dettagli, vedere Come creare un volume SMB per Azure NetApp Files.

Lo spazio di archiviazione può essere crittografato quando inattivo?

Tutti i volumi di Azure NetApp Files vengono crittografati usando lo standard FIPS 140-2. Informazioni su come sono gestite le chiavi di crittografia.

Il traffico di replica tra zone e tra aree di Azure NetApp Files è crittografato?

La replica tra aree e tra aree di Azure NetApp Files usa la crittografia TLS 1.2 AES-256 GCM per crittografare tutti i dati trasferiti tra il volume di origine e il volume di destinazione. Questa crittografia si aggiunge alla crittografia MACSec di Azure attivata per impostazione predefinita per tutto il traffico di Azure, tra cui la replica di Azure NetApp Files tra aree e tra zone.

Come sono gestite le chiavi di crittografia?

Per impostazione predefinita, la gestione delle chiavi per Azure NetApp Files viene gestita dal servizio usando le chiavi gestite dalla piattaforma. Per ogni volume viene generata una chiave di crittografia dei dati XTS-AES-256 univoca. Una gerarchia di chiavi di crittografia viene usata per crittografare e proteggere tutte le chiavi del volume. Queste chiavi di crittografia non vengono mai visualizzate o segnalate in un formato non crittografato. Quando si elimina un volume, Azure NetApp Files elimina immediatamente le chiavi di crittografia del volume.

In alternativa, è possibile usare chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files in cui le chiavi vengono archiviate in Azure Key Vault. Con le chiavi gestite dal cliente, è possibile gestire completamente la relazione tra il ciclo di vita di una chiave, le autorizzazioni di utilizzo delle chiavi e le operazioni di controllo sulle chiavi. Questa funzionalità è ora disponibile a livello generale in tutte le aree supportate. La crittografia del volume di Azure NetApp Files con chiavi gestite dal cliente con il modulo di sicurezza hardware gestito è un'estensione di questa funzionalità, consentendo di archiviare le chiavi di crittografia in un modulo di protezione hardware FIPS 140-2 livello 2 più sicuro anziché il servizio FIPS 140-2 livello 1 o livello 2 usato da Azure Key Vault.

Azure NetApp Files supporta la possibilità di spostare i volumi esistenti che usano chiavi gestite dalla piattaforma alle chiavi gestite dal cliente. Dopo aver completato la transizione, non sarà possibile ripristinare le chiavi gestite dalla piattaforma. Per altre informazioni, vedere Eseguire la transizione di un volume di Azure NetApp Files alle chiavi gestite dal cliente.

È possibile configurare le regole dei criteri di esportazione NFS per controllare l'accesso alla destinazione di montaggio del servizio Azure NetApp Files?

Sì, è possibile configurare fino a cinque regole in un singolo criterio di esportazione NFS.

È possibile usare il controllo degli accessi in base al ruolo con Azure NetApp Files?

Sì, Azure NetApp Files supporta le funzionalità di controllo degli accessi in base al ruolo di Azure. Oltre ai ruoli predefiniti di Azure, è possibile creare ruoli personalizzati per Azure NetApp Files.

Per l'elenco completo delle autorizzazioni di Azure NetApp Files, vedere Operazioni del provider di risorse di Azure per Microsoft.NetApp.

I log attività di Azure sono supportati in Azure NetApp Files?

Azure NetApp Files è un servizio nativo di Azure. Vengono registrate tutte le API PUT, POST e DELETE in Azure NetApp Files. Ad esempio, i log mostrano attività come chi ha creato lo snapshot, chi ha modificato il volume e così via.

Per l'elenco completo delle operazioni API, vedere API REST di Azure NetApp Files.

È possibile usare i criteri di Azure con Azure NetApp Files?

Sì, è possibile creare criteri di Azure personalizzati.

Tuttavia, non è possibile creare criteri di Azure (criteri di denominazione personalizzati) nell'interfaccia di Azure NetApp Files. Vedere Linee guida per la pianificazione della rete per Azure NetApp Files.

Quando si elimina un volume di Azure NetApp Files, i dati vengono eliminati in modo sicuro?

L'eliminazione di un volume di Azure NetApp Files viene eseguita a livello di codice con effetto immediato. L'operazione di eliminazione include l'eliminazione di chiavi usate per crittografare i dati inattivi. Non è possibile eseguire il ripristino di un volume eliminato quando l'operazione di eliminazione viene eseguita correttamente tramite interfacce come il portale di Azure e l'API.

Come vengono archiviate le credenziali di Active Directory Connector nel servizio Azure NetApp Files?

Le credenziali del connettore AD vengono archiviate nel database del piano di controllo di Azure NetApp Files in un formato crittografato. L'algoritmo di crittografia utilizzato è AES-256 (unidirezionale).

Passaggi successivi