Często zadawane pytania dotyczące zabezpieczeń usługi Azure NetApp Files
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące zabezpieczeń usługi Azure NetApp Files.
Czy ruch sieciowy między maszyną wirtualną platformy Azure a magazynem może być zaszyfrowany?
Ruch danych usługi Azure NetApp Files jest z natury bezpieczny zgodnie z projektem, ponieważ nie zapewnia publicznego punktu końcowego, a ruch danych pozostaje w sieci wirtualnej należącej do klienta. Dane w locie nie są domyślnie szyfrowane. Jednak ruch danych z maszyny wirtualnej platformy Azure (z systemem NFS lub klientem SMB) do usługi Azure NetApp Files jest tak bezpieczny, jak każdy inny ruch z maszyny wirtualnej platformy Azure do maszyny wirtualnej.
Protokół NFSv3 nie zapewnia obsługi szyfrowania, więc nie można zaszyfrować tych danych w locie. Można jednak opcjonalnie włączyć szyfrowanie danych NFSv4.1 i SMB3 w locie. Ruch danych między klientami NFSv4.1 i woluminami usługi Azure NetApp Files można szyfrować przy użyciu protokołu Kerberos z szyfrowaniem AES-256. Aby uzyskać szczegółowe informacje, zobacz Configure NFSv4.1 Kerberos encryption for Azure NetApp Files (Konfigurowanie szyfrowania Kerberos w systemie plików NFSv4.1 dla usługi Azure NetApp Files ). Ruch danych między klientami SMB3 i woluminami usługi Azure NetApp Files można szyfrować przy użyciu algorytmu AES-CCM w środowisku SMB 3.0 oraz algorytmu AES-GCM w połączeniach SMB 3.1.1. Aby uzyskać szczegółowe informacje, zobacz Tworzenie woluminu SMB dla usługi Azure NetApp Files .
Czy magazyn może być zaszyfrowany w spoczynku?
Wszystkie woluminy usługi Azure NetApp Files są szyfrowane przy użyciu standardu FIPS 140-2. Dowiedz się , jak zarządzać kluczami szyfrowania.
Czy ruch związany z replikacją między regionami i między strefami jest szyfrowany?
Usługa Azure NetApp Files między regionami i replikacją między strefami używa szyfrowania TLS 1.2 AES-256 GCM w celu szyfrowania wszystkich danych przesyłanych między woluminem źródłowym a woluminem docelowym. To szyfrowanie jest dodatkiem do szyfrowania MACSec platformy Azure, które jest domyślnie włączone dla całego ruchu platformy Azure, w tym między regionami i replikacją między strefami usługi Azure NetApp Files.
Jak zarządzane są klucze szyfrowania?
Domyślnie zarządzanie kluczami dla usługi Azure NetApp Files jest obsługiwane przez usługę przy użyciu kluczy zarządzanych przez platformę. Dla każdego woluminu jest generowany unikatowy klucz szyfrowania danych XTS-AES-256. Hierarchia kluczy szyfrowania służy do szyfrowania i ochrony wszystkich kluczy woluminów. Te klucze szyfrowania nigdy nie są wyświetlane ani zgłaszane w formacie niezaszyfrowanym. Po usunięciu woluminu usługa Azure NetApp Files natychmiast usuwa klucze szyfrowania woluminu.
Alternatywnie klucze zarządzane przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files mogą służyć do przechowywania kluczy w usłudze Azure Key Vault. Za pomocą kluczy zarządzanych przez klienta można w pełni zarządzać relacją między cyklem życia klucza, uprawnieniami do użycia klucza i operacjami inspekcji kluczy. Funkcja jest ogólnie dostępna w obsługiwanych regionach. Szyfrowanie woluminów usługi Azure NetApp Files za pomocą kluczy zarządzanych przez klienta za pomocą zarządzanego sprzętowego modułu zabezpieczeń to rozszerzenie tej funkcji, które umożliwia przechowywanie kluczy szyfrowania w bezpieczniejszej usłudze FIPS 140-2 Poziom 3 HSM zamiast usługi FIPS 140-2 Poziom 1 lub Poziom 2 używanej przez usługę Azure Key Vault.
Usługa Azure NetApp Files obsługuje możliwość przenoszenia istniejących woluminów przy użyciu kluczy zarządzanych przez platformę do kluczy zarządzanych przez klienta. Po zakończeniu przejścia nie można przywrócić kluczy zarządzanych przez platformę. Aby uzyskać dodatkowe informacje, zobacz Przenoszenie woluminu usługi Azure NetApp Files do kluczy zarządzanych przez klienta.
Czy mogę skonfigurować reguły zasad eksportowania systemu plików NFS w celu kontrolowania dostępu do miejsca docelowego instalacji usługi Azure NetApp Files?
Tak, można skonfigurować maksymalnie pięć reguł w ramach jednej zasady eksportu systemu plików NFS.
Czy mogę używać kontroli dostępu opartej na rolach (RBAC) platformy Azure z usługą Azure NetApp Files?
Tak, usługa Azure NetApp Files obsługuje funkcje kontroli dostępu opartej na rolach platformy Azure. Oprócz wbudowanych ról platformy Azure można tworzyć role niestandardowe dla usługi Azure NetApp Files.
Aby uzyskać pełną listę uprawnień usługi Azure NetApp Files, zobacz Operacje dostawcy zasobów platformy Azure dla programu Microsoft.NetApp
.
Czy dzienniki aktywności platformy Azure są obsługiwane w usłudze Azure NetApp Files?
Azure NetApp Files to natywna usługa platformy Azure. Wszystkie interfejsy API PUT, POST i DELETE względem usługi Azure NetApp Files są rejestrowane. Na przykład dzienniki pokazują działania, takie jak osoba, która utworzyła migawkę, która zmodyfikowała wolumin itd.
Aby uzyskać pełną listę operacji interfejsu API, zobacz Interfejs API REST usługi Azure NetApp Files.
Czy mogę używać zasad platformy Azure z usługą Azure NetApp Files?
Tak, możesz utworzyć niestandardowe zasady platformy Azure.
Nie można jednak utworzyć zasad platformy Azure (niestandardowych zasad nazewnictwa) w interfejsie usługi Azure NetApp Files. Zobacz Wytyczne dotyczące planowania sieci usługi Azure NetApp Files.
Czy po usunięciu woluminu usługi Azure NetApp Files dane są bezpiecznie usuwane?
Usunięcie woluminu usługi Azure NetApp Files jest wykonywane programowo z natychmiastowym skutkiem. Operacja usuwania obejmuje usuwanie kluczy używanych do szyfrowania danych magazynowanych. Nie ma możliwości odzyskania usuniętego woluminu po pomyślnym wykonaniu operacji usuwania (za pośrednictwem interfejsów, takich jak witryna Azure Portal i interfejs API).
W jaki sposób poświadczenia łącznika usługi Active Directory są przechowywane w usłudze Azure NetApp Files?
Poświadczenia łącznika usługi AD są przechowywane w bazie danych płaszczyzny sterowania usługi Azure NetApp Files w formacie zaszyfrowanym. Używany algorytm szyfrowania to AES-256 (jednokierunkowa).
Następne kroki
- Jak utworzyć żądanie pomocy technicznej dla platformy Azure
- Często zadawane pytania dotyczące sieci
- Często zadawane pytania dotyczące wydajności
- Często zadawane pytania dotyczące systemu NFS
- Protokół SMB — często zadawane pytania
- Zarządzanie pojemnością — często zadawane pytania
- Często zadawane pytania dotyczące migracji i ochrony danych
- Często zadawane pytania o kopie zapasowe usługi Azure NetApp Files
- Odporność aplikacji — często zadawane pytania
- Często zadawane pytania dotyczące integracji