Partilhar via


Perguntas frequentes sobre segurança para arquivos NetApp do Azure

Este artigo responde a perguntas frequentes (FAQs) sobre a segurança dos Arquivos NetApp do Azure.

O tráfego de rede entre a VM do Azure e o armazenamento pode ser criptografado?

O tráfego de dados dos Arquivos NetApp do Azure é inerentemente seguro por design, pois não fornece um ponto de extremidade público e o tráfego de dados permanece dentro da VNet de propriedade do cliente. Os dados em voo não são criptografados por padrão. No entanto, o tráfego de dados de uma VM do Azure (executando um cliente NFS ou SMB) para os Arquivos NetApp do Azure é tão seguro quanto qualquer outro tráfego Azure-VM-to-VM.

O protocolo NFSv3 não fornece suporte para criptografia, portanto, esses dados em voo não podem ser criptografados. No entanto, a criptografia de dados em voo NFSv4.1 e SMB3 pode ser ativada opcionalmente. O tráfego de dados entre clientes NFSv4.1 e volumes de Arquivos NetApp do Azure pode ser criptografado usando Kerberos com criptografia AES-256. Consulte Configurar a criptografia Kerberos NFSv4.1 para arquivos NetApp do Azure para obter detalhes. O tráfego de dados entre clientes SMB3 e volumes de Arquivos NetApp do Azure pode ser criptografado usando o algoritmo AES-CCM no SMB 3.0 e o algoritmo AES-GCM em conexões SMB 3.1.1. Consulte Criar um volume SMB para arquivos NetApp do Azure para obter detalhes.

O armazenamento pode ser criptografado em repouso?

Todos os volumes do Azure NetApp Files são criptografados usando o padrão FIPS 140-2. Saiba como as chaves de criptografia são gerenciadas.

O tráfego de replicação entre regiões e entre zonas dos Arquivos NetApp do Azure é criptografado?

A replicação entre regiões e entre zonas dos Arquivos NetApp do Azure usa a criptografia TLS 1.2 AES-256 GCM para criptografar todos os dados transferidos entre o volume de origem e o volume de destino. Essa criptografia é adicional à criptografia MACSec do Azure que está ativada por padrão para todo o tráfego do Azure, incluindo a replicação entre regiões e entre zonas dos Arquivos NetApp do Azure.

Como são geridas as chaves de encriptação?

Por padrão, o gerenciamento de chaves para Arquivos NetApp do Azure é manipulado pelo serviço, usando chaves gerenciadas pela plataforma. Uma chave de criptografia de dados XTS-AES-256 exclusiva é gerada para cada volume. Uma hierarquia de chaves de criptografia é usada para criptografar e proteger todas as chaves de volume. Essas chaves de criptografia nunca são exibidas ou relatadas em um formato não criptografado. Quando você exclui um volume, os Arquivos NetApp do Azure excluem imediatamente as chaves de criptografia do volume.

Como alternativa, as chaves gerenciadas pelo cliente para a criptografia de volume do Azure NetApp Files podem ser usadas onde as chaves são armazenadas no Cofre de Chaves do Azure. Com chaves gerenciadas pelo cliente, você pode gerenciar totalmente a relação entre o ciclo de vida de uma chave, as permissões de uso da chave e as operações de auditoria em chaves. O recurso está disponível em geral (GA) em regiões suportadas. A criptografia de volume dos Arquivos NetApp do Azure com chaves gerenciadas pelo cliente com o Módulo de Segurança de Hardware gerenciado é uma extensão desse recurso, permitindo que você armazene suas chaves de criptografia em um HSM FIPS 140-2 Nível 3 mais seguro em vez do serviço FIPS 140-2 Nível 1 ou Nível 2 usado pelo Cofre de Chaves do Azure.

Os Arquivos NetApp do Azure dão suporte à capacidade de mover volumes existentes usando chaves gerenciadas pela plataforma para chaves gerenciadas pelo cliente. Depois de concluir a transição, não é possível reverter para chaves gerenciadas pela plataforma. Para obter informações adicionais, consulte Fazer a transição de um volume de arquivos NetApp do Azure para chaves gerenciadas pelo cliente.

Posso configurar as regras de política de exportação NFS para controlar o acesso ao destino de montagem do serviço Azure NetApp Files?

Sim, você pode configurar até cinco regras em uma única política de exportação NFS.

Posso usar o controle de acesso baseado em função (RBAC) do Azure com os Arquivos NetApp do Azure?

Sim, o Azure NetApp Files dá suporte aos recursos do Azure RBAC. Junto com as funções internas do Azure, você pode criar funções personalizadas para os Arquivos NetApp do Azure.

Para obter a lista completa das permissões dos Arquivos NetApp do Azure, consulte Operações do provedor de recursos do Azure para Microsoft.NetApp.

Os Logs de Atividade do Azure são suportados nos Arquivos NetApp do Azure?

O Azure NetApp Files é um serviço nativo do Azure. Todas as APIs PUT, POST e DELETE nos Arquivos NetApp do Azure são registradas. Por exemplo, os logs mostram atividades como quem criou o instantâneo, quem modificou o volume e assim por diante.

Para obter a lista completa de operações de API, consulte Azure NetApp Files REST API.

Posso usar políticas do Azure com Arquivos NetApp do Azure?

Sim, você pode criar políticas personalizadas do Azure.

No entanto, não é possível criar políticas do Azure (políticas de nomenclatura personalizadas) na interface do Azure NetApp Files. Veja Diretrizes para o planeamento de rede do Azure NetApp Files.

Quando excluo um volume de Arquivos NetApp do Azure, os dados são excluídos com segurança?

A exclusão de um volume de Arquivos NetApp do Azure é executada programaticamente com efeito imediato. A operação de exclusão inclui a exclusão de chaves usadas para criptografar dados em repouso. Não há opção para qualquer cenário recuperar um volume excluído depois que a operação de exclusão for executada com êxito (por meio de interfaces como o portal do Azure e a API).

Como as credenciais do Conector do Ative Directory são armazenadas no serviço Arquivos NetApp do Azure?

As credenciais do AD Connector são armazenadas no banco de dados do plano de controle dos Arquivos NetApp do Azure em um formato criptografado. O algoritmo de encriptação usado é AES-256 (unidirecional).

Próximos passos