Azure NetApp Files에 대한 보안 FAQ
이 문서는 Azure NetApp Files 보안에 대한 FAQ(질문과 대답)에 대한 답변입니다.
Azure VM과 스토리지 간의 네트워크 트래픽을 암호화할 수 있나요?
Azure NetApp Files 데이터 트래픽은 퍼블릭 엔드포인트를 제공하지 않고 데이터 트래픽이 고객 소유의 VNet 내에서 유지되기 때문에 기본적으로 안전합니다. 이동 중인 데이터는 기본적으로 암호화되지 않습니다. 그러나 Azure VM(NFS 또는 SMB 클라이언트 실행)에서 Azure NetApp Files로 이동하는 데이터 트래픽은 다른 Azure VM 간 트래픽만큼 안전합니다.
NFSv3 프로토콜은 암호화를 지원하지 않으므로 이동 중인 데이터를 암호화할 수 없습니다. 그러나 NFSv4.1 및 SMB3 이동 중인 데이터 암호화를 선택적으로 사용하도록 설정할 수 있습니다. NFSv4.1 클라이언트와 Azure NetApp Files 볼륨 간의 데이터 트래픽은 AES-256 암호화를 사용하는 Kerberos를 통해 암호화할 수 있습니다. 자세한 내용은 Azure NetApp Files에 대한 NFSv4.1 Kerberos 암호화 구성을 참조하세요. SMB 3.0의 AES-CCM 알고리즘과 SMB 3.1.1 연결의 AES-GCM 알고리즘을 사용하여 SMB3 클라이언트와 Azure NetApp Files 볼륨 간 데이터 트래픽을 암호화할 수 있습니다. 자세한 내용은 Azure NetApp Files에 대한 SMB 볼륨 만들기를 참조하세요.
미사용 스토리지를 암호화할 수 있나요?
모든 Azure NetApp Files 볼륨은 FIPS 140-2 표준을 사용하여 암호화됩니다. 암호 키를 관리하는 방법을 알아봅니다.
Azure NetApp Files 교차지역/교차영역 복제 트래픽은 암호화되나요?
Azure NetApp Files 교차지역/교차영역 복제는 TLS 1.2 AES-256 GCM 암호화를 사용해 원본 볼륨과 대상 볼륨 간에 전송되는 데이터를 모두 암호화합니다. 이 암호화는 Azure NetApp Files 교차지역/교차영역 복제를 비롯해 모든 Azure 트래픽에서 기본적으로 사용되는 Azure MACSec 암호화에 추가로 적용됩니다.
암호 키를 관리하는 방법은 어떻게 되나요?
기본적으로 Azure NetApp Files에 대한 키 관리는 플랫폼 관리형 키를 사용하여 서비스에서 처리됩니다. 각 볼륨에 대해 고유한 XTS-AES-256 데이터 암호화 키가 생성됩니다. 암호화 키 계층 구조가 모든 볼륨 키를 암호화하고 보호하는 데 사용됩니다. 이러한 암호화 키는 암호화되지 않은 형식으로 표시되거나 보고되지 않습니다. 볼륨을 삭제하면 Azure NetApp Files는 볼륨의 암호화 키를 즉시 삭제합니다.
또는 Azure NetApp Files 볼륨 암호화를 위한 고객 관리형 키를 키가 Azure Key Vault에 저장되는 위치에 사용할 수 있습니다. 고객 관리형 키를 사용하면 키의 수명 주기, 키 사용 권한 및 키에 대한 감사 작업 간의 관계를 완전히 관리할 수 있습니다. 이 기능은 지원되는 지역에서 GA(일반 공급)로 제공됩니다. 관리형 하드웨어 보안 모듈 을 사용하는 고객 관리형 키를 사용한 Azure NetApp Files 볼륨 암호화는 이 기능의 확장으로, Azure Key Vault에서 사용하는 FIPS 140-2 수준 1 또는 수준 2 서비스 대신 보다 안전한 FIPS 140-2 수준 3 HSM에 암호화 키를 저장할 수 있습니다.
Azure NetApp Files는 플랫폼 관리형 키를 사용하여 기존 볼륨을 고객 관리형 키로 이동하는 기능을 지원합니다. 전환을 완료한 후에는 플랫폼 관리형 키로 되돌릴 수 없습니다. 추가 정보는 Azure NetApp Files 볼륨을 고객 관리형 키로 전환을 참조하세요.
Azure NetApp Files 서비스 탑재 대상에 대한 액세스를 제어하도록 NFS 내보내기 정책 규칙을 구성할 수 있나요?
예, 단일 NFS 내보내기 정책에서 최대 5개의 규칙을 구성할 수 있습니다.
Azure NetApp Files로 Azure RBAC(역할 기반 액세스 제어)를 사용할 수 있나요?
예, Azure NetApp Files는 Azure RBAC 기능을 지원합니다. 기본 제공 Azure 역할과 함께 Azure NetApp Files에 대한 사용자 지정 역할을 만들 수 있습니다.
Azure NetApp Files 권한의 전체 목록은 Microsoft.NetApp
에 대한 Azure 리소스 공급자 작업을 참조하세요.
Azure NetApp Files에서 Azure 활동 로그를 지원하나요?
Azure NetApp Files는 Azure 네이티브 서비스입니다. Azure NetApp Files에 대한 모든 PUT, POST 및 DELETE API가 기록됩니다. 예를 들어 로그에는 스냅샷을 만든 사용자, 볼륨을 수정한 사용자 등과 같은 작업이 표시됩니다.
API 작업의 전체 목록은 Azure NetApp Files REST API를 참조하세요.
Azure NetApp Files에서 Azure 정책을 사용할 수 있나요?
예, 사용자 지정 Azure 정책을 만들 수 있습니다.
그러나 Azure 정책(사용자 지정 명명 정책)은 Azure NetApp Files 인터페이스에서 만들 수 없습니다. Azure NetApp Files 네트워크 계획 지침을 참조하십시오.
Azure NetApp Files 볼륨을 삭제하면 데이터가 안전하게 삭제되나요?
Azure NetApp Files 볼륨 삭제는 즉시 적용되는 프로그래밍 방식으로 수행됩니다. 삭제 작업에는 미사용 데이터를 암호화하는 데 사용되는 키 삭제가 포함됩니다. 삭제 작업이 성공적으로 실행되면(Azure Portal 및 API와 같은 인터페이스를 통해) 삭제된 볼륨을 복구하는 시나리오에 대한 옵션은 제공되지 않습니다.
Active Directory Connector 자격 증명은 Azure NetApp Files 서비스에 어떻게 저장되나요?
AD Connector 자격 증명은 암호화된 형식으로 Azure NetApp Files 컨트롤 플레인 데이터베이스에 저장됩니다. 사용되는 암호화 알고리즘은 AES-256(단방향)입니다.