Compartilhar via


Perguntas frequentes sobre segurança do Azure NetApp Files

Este artigo responde às perguntas frequentes sobre a segurança do Azure NetApp Files.

O tráfego de rede entre a VM do Azure e o armazenamento pode ser criptografado?

O tráfego de dados do Azure NetApp Files é inerentemente seguro por design, pois não fornece um ponto de extremidade público e o tráfego de dados permanece dentro da VNet de propriedade do cliente. Os dados em trânsito não são criptografados por padrão. No entanto, o tráfego de uma VM do Azure (executando um cliente NFS ou SMB) para o Azure NetApp Files é tão seguro quanto qualquer outro tráfego entre VMs do Azure.

O protocolo NFSv3 não dá suporte à criptografia, portanto, esses dados em trânsito não podem ser criptografados. No entanto, a criptografia de dados em trânsito NFSv4.1 e SMB3 pode ser habilitada opcionalmente. O tráfego de dados entre os clientes NFSv 4.1 e os volumes do Azure NetApp Files pode ser criptografado usando o Kerberos com a criptografia AES-256. Confira Configurar criptografia do Kerberos do NFSv 4.1 para Azure NetApp Files para obter detalhes. O tráfego de dados entre clientes SMB3 e volumes do Azure NetApp Files pode ser criptografado usando o algoritmo AES-CCM no SMB 3.0 e o algoritmo AES-GCM em conexões SMB 3.1.1. Para obter mais detalhes, confira como Criar um volume SMB para o Azure NetApp Files.

O armazenamento pode ser criptografado em repouso?

Todos os volumes do Azure NetApp Files são criptografados usando o padrão FIPS 140-2. Saiba como as chaves de criptografia são gerenciadas.

O tráfego de replicação entre regiões e entre zonas do Azure NetApp Files é criptografado?

A replicação entre regiões e entre zonas do Azure NetApp Files usa a criptografia TLS 1.2 AES-256 GCM para criptografar todos os dados transferidos entre o volume de origem e o de destino. Essa criptografia é além da criptografia MACSec do Azure que está ativa por padrão para todo o tráfego do Azure, incluindo a replicação entre regiões e entre zonas do Azure NetApp Files.

Como as chaves de criptografia são gerenciadas?

Por padrão, o gerenciamento de chaves do Azure NetApp Files é tratado pelo serviço usando chaves gerenciadas pela plataforma. Uma chave de criptografia de dados XTS-AES-256 exclusiva é gerada para cada volume. Uma hierarquia de chaves de criptografia é usada para criptografar e proteger todas as chaves de volume. Essas chaves de criptografia nunca são exibidas ou relatadas em formato não criptografado. Quando você exclui um volume, o Azure NetApp Files exclui imediatamente as chaves de criptografia do volume.

Como alternativa, as chaves gerenciadas pelo cliente para criptografia de volume do Azure NetApp Files podem ser usadas onde as chaves são armazenadas no Azure Key Vault. Com chaves gerenciadas pelo cliente, você pode gerenciar totalmente o relacionamento entre o ciclo de vida de uma chave, as permissões de uso de chave e as operações de auditoria em chaves. O recurso está em GA (disponibilidade geral) em regiões com suporte. Criptografia de volume do Azure NetApp Files com chaves gerenciadas pelo cliente com o Módulo de Segurança de Hardware gerenciado é uma extensão para esse recurso, permitindo que você armazene suas chaves de criptografia em um HSM FIPS 140-2 nível 3 mais seguro em vez do serviço FIPS 140-2 Nível 1 ou Nível 2 usado pelo Azure Key Vault.

O Azure NetApp Files dá suporte à capacidade de migrar volumes existentes do uso de chaves gerenciadas pela plataforma para chaves gerenciadas pelo cliente. Após concluir a transição, você não poderá reverter para as chaves gerenciadas pela plataforma. Para obter informações adicionais, confira Fazer a transição de um volume do Azure NetApp Files para chaves gerenciadas pelo cliente.

É possível configurar as regras da política de exportação do NFS para controlar o acesso ao destino de montagem do serviço do Azure NetApp Files?

Sim, é possível configurar até cinco regras em uma única política de exportação do NFS.

Posso usar o RBAC (controle de acesso baseado em função) do Azure com o Azure NetApp Files?

Sim, o Azure NetApp Files dá suporte aos recursos do Azure RBAC. Juntamente com as funções internas do Azure, é possível criar funções personalizadas para o Azure NetApp Files.

Para obter a lista completa de permissões do Azure NetApp Files, confira as operações de provedor de recursos do Azure para Microsoft.NetApp.

O Azure NetApp Files dá suporte aos logs de atividades do Azure?

O Azure NetApp Files é um serviço nativo do Azure. Todas as APIs PUT, POST e DELETE são registradas no Azure NetApp Files. Por exemplo, os logs mostram atividades como quem criou o instantâneo, quem modificou o volume e assim por diante.

Para obter a lista completa das operações de API, confira API REST do Azure NetApp Files.

É possível usar as políticas do Azure com o Azure NetApp Files?

Sim, é possível criar políticas personalizadas do Azure.

No entanto, não é possível criar políticas do Azure (políticas de nomenclatura personalizadas) na interface do Azure NetApp Files. Consulte Diretrizes para planejamento de rede do Azure NetApp Files.

Quando excluo um volume do Azure NetApp Files, os dados são excluídos com segurança?

A exclusão de um volume do Azure NetApp Files é feita de modo programático, com efeito imediato. A operação de exclusão inclui a exclusão de chaves usadas para criptografar dados em repouso. Não há, em nenhum cenário, a opção de recuperar um volume excluído depois da conclusão da operação de exclusão (por meio de interfaces como o portal do Azure e a API).

Como as credenciais do Active Directory Connector são armazenadas no serviço Azure NetApp Files?

As credenciais do AD Connector são armazenadas no banco de dados do painel de controle do Azure NetApp Files em um formato criptografado. O algoritmo de criptografia é AES-256 (unidirecional).

Próximas etapas