Freigeben über

Häufig gestellte Fragen zur Sicherheit von Azure NetApp Files

  • Artikel

In diesem Artikel werden häufig gestellte Fragen zur Sicherheit von Azure NetApp Files beantwortet.

Kann der Netzwerkdatenverkehr zwischen Azure-VM und Speicher verschlüsselt werden?

Azure NetApp Files-Datenverkehr ist entwurfsbedingt grundsätzlich sicher, da er keinen öffentlichen Endpunkt bereitstellt und der Datenverkehr innerhalb des kundeneigenen VNet verbleibt. Daten während der Übertragung werden nicht standardmäßig verschlüsselt. Der Datenverkehr von einer Azure-VM (auf der ein NFS- oder SMB-Client ausgeführt wird) zu Azure NetApp Files ist jedoch so sicher wie jeder andere Datenverkehr zwischen Azure-VMs.

Das NFSv3-Protokoll bietet keine Unterstützung für die Verschlüsselung, sodass diese Daten während der Übertragung nicht verschlüsselt werden können. NFSv4.1- und SMB3-Verschlüsselung von Daten während der Übertragung kann jedoch optional aktiviert werden. Der Datenverkehr zwischen NFSv4.1-Clients und Azure NetApp Files-Volumes kann mit Kerberos per AES-256-Verschlüsselung verschlüsselt werden. Weitere Informationen finden Sie unter Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung für Azure NetApp Files. Der Datenverkehr zwischen SMB3-Clients und Azure NetApp Files-Volumes kann mithilfe des AES-CCM-Algorithmus für SMB 3.0- und mit dem AES-GCM-Algorithmus für SMB 3.1.1-Verbindungen verschlüsselt werden. Ausführliche Informationen finden Sie unter Erstellen eines SMB-Volumes für Azure NetApp Files.

Kann der Speicher im Ruhezustand verschlüsselt werden?

Alle Azure NetApp Files-Volumes werden mit dem FIPS 140-2-Standard verschlüsselt. Erfahren Sie, wie Verschlüsselungsschlüssel verwaltet werden.

Wird der Datenverkehr bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files verschlüsselt?

Alle zwischen dem Quellvolume und dem Zielvolume übertragenen Daten werden bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files per TLS 1.2 AES-256 GCM-Verschlüsselung verschlüsselt. Diese Verschlüsselung erfolgt zusätzlich zur Azure MACSec-Verschlüsselung, die standardmäßig für den gesamten Azure-Datenverkehr aktiviert ist, auch für den Datenverkehr bei der regions- und zonenübergreifenden Replikation in Azure NetApp Files.

Wie werden Verschlüsselungsschlüssel verwaltet?

Die Schlüsselverwaltung für Azure NetApp Files wird vom Dienst standardmäßig mit plattformverwalteten Schlüsseln verarbeitet. Für jedes Volume wird ein eindeutiger XTS-AES-256-Datenverschlüsselungsschlüssel generiert. Zum Verschlüsseln und Schützen aller Volumeschlüssel wird eine Verschlüsselungsschlüsselhierarchie verwendet. Diese Verschlüsselungsschlüssel werden niemals in unverschlüsseltem Format angezeigt oder gemeldet. Wenn Sie ein Volume löschen, löscht Azure NetApp Files sofort die Verschlüsselungsschlüssel des Volumes.

Alternativ können vom Kunden verwaltete Schlüssel für die Volumeverschlüsselung von Azure NetApp Files verwendet werden, in denen Schlüssel in Azure Key Vault gespeichert werden. Mit kundenseitig verwalteten Schlüsseln können Sie die Beziehung zwischen dem Lebenszyklus eines Schlüssels, den Schlüsselverwendungsberechtigungen und den Prüfvorgängen für Schlüssel vollständig verwalten. Das Feature ist in unterstützten Regionen allgemein verfügbar.

Darüber hinaus werden vom Kunden verwaltete Schlüssel mit Azure Dedicated HSM auf kontrollierter Basis unterstützt. Der Support ist derzeit in den Regionen USA, Osten, USA, Süden-Mitte, USA, Westen 2, und US Gov Virginia verfügbar. Sie können den Zugriff mit dem Feedbackformular von Azure NetApp Files anfordern. Entsprechend der zunehmenden Verfügbarkeit von Kapazitäten werden Anforderungen genehmigt.

Kann ich Regeln für NFS-Exportrichtlinien konfigurieren, um den Zugriff auf das Azure NetApp Files-Diensteinbindungsziel zu steuern?

Ja, Sie können bis zu fünf Regeln in einer einzigen NFS-Exportrichtlinie konfigurieren.

Kann ich rollenbasierte Zugriffssteuerung in Azure (RBAC) mit Azure NetApp Files verwenden?

Ja, Azure NetApp Files unterstützt Azure RBAC-Features. Neben den integrierten Azure-Rollen können benutzerdefinierte Rollen für Azure NetApp Files erstellt werden.

Eine vollständige Liste der Azure NetApp Files-Berechtigungen finden Sie in den Azure-Ressourcenanbietervorgängen für Microsoft.NetApp.

Werden Azure-Aktivitätsprotokolle für Azure NetApp Files unterstützt?

Bei Azure NetApp Files handelt es sich um einen nativen Azure-Dienst. All PUT-, POST- und DELETE-APIs für Azure NetApp Files werden protokolliert. Die Protokolle geben beispielsweise Aufschluss darüber, wer die Momentaufnahme erstellt oder das Volume geändert hat.

Eine vollständige Liste der API-Vorgänge finden Sie unter Azure NetApp Files-REST-API.

Kann ich Azure-Richtlinien mit Azure NetApp Files verwenden?

Ja. Sie können benutzerdefinierte Azure-Richtlinien erstellen.

Sie können allerdings keine Azure-Richtlinien (benutzerdefinierte Benennungsrichtlinien) für die Azure NetApp Files-Schnittstelle erstellen. Lesen Sie den Artikel mit den Richtlinien für die Azure NetApp Files-Netzwerkplanung.

Werden die Daten sicher gelöscht, wenn ich ein Azure NetApp Files-Volume lösche?

Das Löschen eines Azure NetApp Files-Volumes erfolgt programmgesteuert und mit sofortiger Wirkung. Der Löschvorgang umfasst das Löschen von Schlüsseln, die zum Verschlüsseln der ruhenden Daten verwendet werden. Es gibt keine Möglichkeit, ein gelöschtes Volume wiederherzustellen, nachdem der Löschvorgang erfolgreich ausgeführt wurde (über Schnittstellen wie das Azure-Portal und die API).

Wie werden die Active Directory Connector-Anmeldeinformationen im Azure NetApp Files-Dienst gespeichert?

Die AD Connector-Anmeldeinformationen werden in der Datenbank auf Azure NetApp Files-Steuerungsebene in einem verschlüsselten Format gespeichert. Der verwendete Verschlüsselungsalgorithmus ist AES-256 (unidirektional).

Nächste Schritte