Häufig gestellte Fragen zur Sicherheit von Azure NetApp Files
In diesem Artikel werden häufig gestellte Fragen zur Sicherheit von Azure NetApp Files beantwortet.
Kann der Netzwerkdatenverkehr zwischen Azure-VM und Speicher verschlüsselt werden?
Azure NetApp Files-Datenverkehr ist entwurfsbedingt grundsätzlich sicher, da er keinen öffentlichen Endpunkt bereitstellt und der Datenverkehr innerhalb des kundeneigenen VNet verbleibt. Daten während der Übertragung werden nicht standardmäßig verschlüsselt. Der Datenverkehr von einer Azure-VM (auf der ein NFS- oder SMB-Client ausgeführt wird) zu Azure NetApp Files ist jedoch so sicher wie jeder andere Datenverkehr zwischen Azure-VMs.
Das NFSv3-Protokoll bietet keine Unterstützung für die Verschlüsselung, sodass diese Daten während der Übertragung nicht verschlüsselt werden können. NFSv4.1- und SMB3-Verschlüsselung von Daten während der Übertragung kann jedoch optional aktiviert werden. Der Datenverkehr zwischen NFSv4.1-Clients und Azure NetApp Files-Volumes kann mit Kerberos per AES-256-Verschlüsselung verschlüsselt werden. Weitere Informationen finden Sie unter Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung für Azure NetApp Files. Der Datenverkehr zwischen SMB3-Clients und Azure NetApp Files-Volumes kann mithilfe des AES-CCM-Algorithmus für SMB 3.0- und mit dem AES-GCM-Algorithmus für SMB 3.1.1-Verbindungen verschlüsselt werden. Ausführliche Informationen finden Sie unter Erstellen eines SMB-Volumes für Azure NetApp Files.
Kann der Speicher im Ruhezustand verschlüsselt werden?
Alle Azure NetApp Files-Volumes werden mit dem FIPS 140-2-Standard verschlüsselt. Erfahren Sie, wie Sie Verschlüsselungsschlüssel verwalten.
Wird der Datenverkehr bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files verschlüsselt?
Alle zwischen dem Quellvolume und dem Zielvolume übertragenen Daten werden bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files per TLS 1.2 AES-256 GCM-Verschlüsselung verschlüsselt. Diese Verschlüsselung erfolgt zusätzlich zur Azure MACSec-Verschlüsselung, die standardmäßig für den gesamten Azure-Datenverkehr aktiviert ist, auch für den Datenverkehr bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files.
Wie werden Verschlüsselungsschlüssel verwaltet?
Die Schlüsselverwaltung für Azure NetApp Files wird vom Dienst standardmäßig mit plattformverwalteten Schlüsseln verarbeitet. Für jedes Volume wird ein eindeutiger XTS-AES-256-Datenverschlüsselungsschlüssel generiert. Zum Verschlüsseln und Schützen aller Volumeschlüssel wird eine Verschlüsselungsschlüsselhierarchie verwendet. Diese Verschlüsselungsschlüssel werden niemals in unverschlüsseltem Format angezeigt oder gemeldet. Wenn Sie ein Volume löschen, löscht Azure NetApp Files sofort die Verschlüsselungsschlüssel des Volumes.
Alternativ können vom Kunden verwaltete Schlüssel für die Volumeverschlüsselung von Azure NetApp Files verwendet werden, in denen Schlüssel in Azure Key Vault gespeichert werden. Mit kundenseitig verwalteten Schlüsseln können Sie die Beziehung zwischen dem Lebenszyklus eines Schlüssels, den Schlüsselverwendungsberechtigungen und den Prüfvorgängen für Schlüssel vollständig verwalten. Das Feature ist in unterstützten Regionen allgemein verfügbar. Azure NetApp Files-Volumeverschlüsselung mit kundenseitig verwalteten Schlüsseln mit dem verwalteten Hardwaresicherheitsmodul ist eine Erweiterung dieses Features, sodass Sie Ihre Verschlüsselungsschlüssel in einem sichereren HSM gemäß FIPS 140-2 Level 3 speichern können anstelle des Diensts gemäß FIPS 140-2 Level 1 oder Level 2, der von Azure Key Vault verwendet wird.
Azure NetApp Files unterstützt die Möglichkeit, vorhandene Volumes mithilfe von plattformverwalteten Schlüsseln auf vom Kunden verwaltete Schlüssel zu verschieben. Nachdem Sie den Übergang abgeschlossen haben, können Sie nicht mehr zu plattformverwalteten Schlüsseln zurückkehren. Weitere Informationen finden Sie unter Übertragen eines Azure NetApp Files-Volumes zu kundenseitig verwalteten Schlüsseln.
Kann ich Regeln für NFS-Exportrichtlinien konfigurieren, um den Zugriff auf das Azure NetApp Files-Diensteinbindungsziel zu steuern?
Ja, Sie können bis zu fünf Regeln in einer einzigen NFS-Exportrichtlinie konfigurieren.
Kann ich rollenbasierte Zugriffssteuerung in Azure (RBAC) mit Azure NetApp Files verwenden?
Ja, Azure NetApp Files unterstützt Azure RBAC-Features. Neben den integrierten Azure-Rollen können benutzerdefinierte Rollen für Azure NetApp Files erstellt werden.
Eine vollständige Liste der Azure NetApp Files-Berechtigungen finden Sie in den Azure-Ressourcenanbietervorgängen für Microsoft.NetApp
.
Werden Azure-Aktivitätsprotokolle für Azure NetApp Files unterstützt?
Bei Azure NetApp Files handelt es sich um einen nativen Azure-Dienst. All PUT-, POST- und DELETE-APIs für Azure NetApp Files werden protokolliert. Die Protokolle geben beispielsweise Aufschluss darüber, wer die Momentaufnahme erstellt oder das Volume geändert hat.
Eine vollständige Liste der API-Vorgänge finden Sie unter Azure NetApp Files-REST-API.
Kann ich Azure-Richtlinien mit Azure NetApp Files verwenden?
Ja. Sie können benutzerdefinierte Azure-Richtlinien erstellen.
Sie können allerdings keine Azure-Richtlinien (benutzerdefinierte Benennungsrichtlinien) für die Azure NetApp Files-Schnittstelle erstellen. Lesen Sie den Artikel mit den Richtlinien für die Azure NetApp Files-Netzwerkplanung.
Werden die Daten sicher gelöscht, wenn ich ein Azure NetApp Files-Volume lösche?
Das Löschen eines Azure NetApp Files-Volumes erfolgt programmgesteuert und mit sofortiger Wirkung. Der Löschvorgang umfasst das Löschen von Schlüsseln, die zum Verschlüsseln der ruhenden Daten verwendet werden. Es gibt keine Möglichkeit, ein gelöschtes Volume wiederherzustellen, nachdem der Löschvorgang erfolgreich ausgeführt wurde (über Schnittstellen wie das Azure-Portal und die API).
Wie werden die Active Directory Connector-Anmeldeinformationen im Azure NetApp Files-Dienst gespeichert?
Die AD Connector-Anmeldeinformationen werden in der Datenbank auf Azure NetApp Files-Steuerungsebene in einem verschlüsselten Format gespeichert. Der verwendete Verschlüsselungsalgorithmus ist AES-256 (unidirektional).
Nächste Schritte
- Erstellen einer Azure-Supportanfrage
- Häufig gestellte Fragen zum Netzwerk
- Häufig gestellte Fragen zur Leistung
- Häufig gestellte Fragen zu NFS
- Häufig gestellte Fragen zu SMB
- Häufig gestellte Fragen zur Kapazitätsverwaltung
- Häufig gestellte Fragen zu Datenmigration und -schutz
- Häufig gestellte Fragen zur Azure NetApp Files-Sicherung
- Häufig gestellte Fragen zur Anwendungsresilienz in Azure NetApp Files
- Häufig gestellte Fragen zur Integration