Comprender la seguridad del plano de control de Azure NetApp Files

Obtenga información sobre las diferentes características de seguridad del plano de control en Azure NetApp Files para comprender lo que está disponible para satisfacer mejor sus necesidades.

Conceptos de seguridad del plano de control

Azure NetApp Files funciona dentro del plano de control de Azure, mediante Azure Resource Manager (ARM) para administrar los recursos de forma eficaz. Esta integración permite la administración centralizada de todos los recursos de Azure, incluido Azure NetApp Files, a través de interfaces como API, PowerShell, CLI o Azure Portal. Con ARM, puede automatizar y generar scripts, mejorar la eficacia operativa y reducir la probabilidad de errores manuales.

El plano de control también se integra con las características de seguridad de Azure, como administración de identidades y acceso (IAM), para aplicar controles de acceso y requisitos de cumplimiento. Esta integración garantiza que solo los usuarios autorizados puedan acceder a los recursos y administrarlos, manteniendo un entorno seguro.

El plano de control también proporciona herramientas para supervisar y auditar el uso y los cambios de los recursos, lo que ayuda a mantener la visibilidad y el cumplimiento en todo el entorno de Azure. Esta integración completa dentro del plano de control de Azure garantiza que Azure NetApp Files se pueda administrar de forma eficaz, segura y coherente, lo que proporciona una solución sólida para las necesidades de administración y almacenamiento de datos.

Administración de identidades y acceso

Un conjunto de operaciones y servicios usados para administrar y controlar el acceso a los recursos de Azure NetApp Files. Use roles integrados o personalizados de control de acceso basado en roles (RBAC) para garantizar que cada usuario reciba solo el acceso necesario. Adapte los permisos individuales para crear un rol RBAC personalizado que se adapte tanto a los usuarios como a los administradores.

• Use roles integrados o RBAC personalizados para garantizar que cada usuario solo tenga el acceso necesario.
• Use permisos individuales para crear un rol RBAC personalizado adecuado para usuarios y administradores.

Administración de claves de cifrado

La administración de claves administradas por la plataforma de Microsoft o claves administradas por el cliente implica operaciones del plano de control que afectan a:

• Administración de claves: el plano de control permite administrar el ciclo de vida de las claves de cifrado, incluida la creación, la rotación y la eliminación. Esto garantiza que tiene control total sobre las claves de cifrado de datos.
• Control de acceso: a través del plano de control, puede definir y aplicar directivas de acceso mediante Azure RBAC, lo que garantiza que solo los usuarios y servicios autorizados puedan acceder o administrar las claves.
• Integración con Azure Key Vault: el plano de control facilita la integración de Azure NetApp Files con Azure Key Vault, donde se almacenan las claves administradas por el cliente. Esta integración garantiza el almacenamiento y la administración seguros de las claves.
• Operaciones de cifrado: para las operaciones de cifrado y descifrado, el plano de control administra las solicitudes de Azure Key Vault para desajustar la clave de cifrado de la cuenta, de modo que sus datos se cifren y descifren de forma segura según sea necesario.
• Auditoría y supervisión: el plano de control proporciona funcionalidades para auditar y supervisar el uso de claves. Esto le ayuda a realizar un seguimiento de quién ha accedido a sus llaves y cuándo, mejorando la seguridad y el cumplimiento de la normativa. Para obtener más información, consulte Configuración de claves administradas por el cliente.

Administración de grupos de seguridad de la red

La administración de grupos de seguridad de red (NSG) en Azure NetApp Files se basa en el plano de control para supervisar y proteger el tráfico de red. Dicha integración aporta las siguientes ventajas:

• Administración del tráfico: el plano de control permite definir y aplicar reglas de NSG, que controlan el flujo de tráfico de red hacia y desde Azure NetApp Files. El control del tráfico de red garantiza que solo se permita el tráfico autorizado, lo que mejora la seguridad.
• Configuración e implementación: a través del plano de control, puede configurar las NSG en las subredes en las que se implementan los volúmenes de archivos de Azure NetApp, incluido el establecimiento de reglas para el tráfico entrante y saliente basadas en direcciones IP, puertos y protocolos.
• Integración con los servicios de Azure: el plano de control facilita la integración de NSG con otros servicios de Azure, como Azure Virtual Network y Azure Key Vault. Esta integración ayuda a mantener un entorno seguro y compatible.
• Supervisión y auditoría: el plano de control proporciona herramientas para supervisar y auditar el tráfico de red. Puede realizar un seguimiento de las reglas que se aplican y ajustarlas según sea necesario para garantizar una seguridad y un rendimiento óptimos.
• Cumplimiento de directivas: mediante el plano de control, puede aplicar directivas de red en el entorno de Azure. Esto incluye la aplicación de directivas personalizadas para cumplir requisitos de seguridad específicos y garantizar el cumplimiento coherente de las directivas.

Para más información, consulte Guía para la planeación de la red Azure NetApp Files y NSG de Azure.

Administración del enrutamiento

El plano de control habilita la configuración de rutas definidas por el usuario (UDR) en las subredes donde se implementan volúmenes de Azure NetApp Files. Las UDR permiten un control preciso sobre el enrutamiento del tráfico de red, lo que garantiza que los paquetes de datos se dirijan a través de rutas de acceso específicas, como aplicaciones virtuales de red (NVA) para la inspección del tráfico. Al definir estas rutas, se puede optimizar el rendimiento de la red y se puede mejorar la seguridad mediante el control de cómo fluye el tráfico dentro del entorno de Azure.

Para más información, consulte Guía para la planeación de la red Azure NetApp Files y la Introducción de UDR.

Administración de bloqueos de recursos

El bloqueo de recursos en la capa del plano de control garantiza que los recursos de Azure NetApp Files estén protegidos frente a eliminaciones y modificaciones accidentales o malintencionadas. El bloqueo es importante para mantener la integridad y estabilidad del entorno de almacenamiento.

El bloqueo de recursos protege las suscripciones, los grupos de recursos o los recursos de eliminaciones y modificaciones accidentales o malintencionadas del usuario. El bloqueo invalida los permisos que el usuario pueda tener. A diferencia de RBAC, los bloqueos de administración aplican una restricción a todos los usuarios y roles. Tenga en cuenta detenidamente al bloquear los recursos necesarios para evitar cambios después de que se haya implementado toda la configuración.

Supervisión y registro de auditoría

La supervisión, la auditoría y el registro son fundamentales para mantener la seguridad y el cumplimiento en el entorno de Azure NetApp Files. El plano de control registra los eventos relacionados con las operaciones de almacenamiento, lo que proporciona un registro completo de las actividades. El registro permite a los administradores supervisar y detectar cualquier actividad sospechosa, investigar incidentes de seguridad y establecer la responsabilidad.

Funcionalidades de supervisión

• Registro de actividad de Azure:
  • Función: proporciona información sobre eventos de nivel de suscripción, como modificaciones de recursos o inicios de máquinas virtuales. Estas informaciones ayudan a realizar un seguimiento de los cambios e identificar actividades no autorizadas. Para comprender cómo funciona el registro de actividad, vea Registro de actividad de Azure.
  • Caso de uso: útil para la auditoría y el cumplimiento de normativas, ya que garantiza que todas las acciones del entorno de Azure NetApp Files se registren y se puedan seguir.
• Métricas de Azure NetApp Files:
  • Función: Azure NetApp Files ofrece métricas sobre el almacenamiento asignado, el uso real del almacenamiento, la I/OPS de volumen y la latencia. Estas métricas le ayudan a comprender los patrones de uso y el rendimiento del volumen. Para obtener más información, consulte Métricas para archivos Azure NetApp.
  • Caso de uso: Las métricas son esenciales para el ajuste del rendimiento y la planeamiento de la capacidad, permitiéndole optimizar sus recursos de almacenamiento de manera efectiva.
• Azure Service Health:
  • Función: Azure Service Health le mantiene informado sobre el estado de los servicios de Azure, lo que proporciona una vista personalizada del estado de su entorno. Para obtener más información, consulte Introducción a la experiencia clásica del portal de Service Health.
  • Caso de uso: Azure Service Health le ayuda a mantenerse actualizado sobre el mantenimiento planeado y los avisos de estado, garantizando una interrupción mínima de sus operaciones.
• Registro de auditoría:
  • Ámbito: el plano de control registra todas las operaciones de API de PUT, POST y DELETE en Azure NetApp Files. Estos registros incluyen acciones como la creación de instantáneas, la modificación de volúmenes y la eliminación de recursos. Para más información, consulte ¿Se admiten registros de actividad de Azure en Azure NetApp Files?
  • Detalles: los registros capturan información detallada sobre cada operación, incluido quién realizó la acción, cuándo se realizó y qué cambios se realizaron. Este nivel de detalle es fundamental para la auditoría y las investigaciones forenses. Para obtener una lista completa de las operaciones de API, consulte API de REST de Azure NetApp Files.

Azure Policy

Cuando se utiliza Azure Policy, el plano de control garantiza que las directivas se apliquen de forma coherente en todo el entorno. Azure Policy ayuda a mantener el cumplimiento de los estándares de la organización y los requisitos normativos.

Integración de Azure Policy

• Aplicación de estándares:
  • Directivas personalizadas: puede crear definiciones de Azure Policy personalizadas adaptadas a sus necesidades específicas para Azure NetApp Files. Estas directivas pueden aplicar reglas como garantizar determinadas configuraciones, restringir el uso de protocolos no seguros o exigir el cifrado. Para obtener más información sobre definiciones de directivas personalizadas, consulte Definiciones de directivas integradas para Azure NetApp Files.
  • Directivas integradas: Azure proporciona definiciones de directivas integradas que puede usar para aplicar estándares comunes. Por ejemplo, puede restringir la creación de volúmenes no seguros o auditar los volúmenes existentes para asegurarse de que cumplen sus requisitos de seguridad. Para más información sobre las directivas integradas, consulte Definiciones de directivas personalizadas para Azure NetApp Files.
• Evaluación de directiva:
  • Evaluación continua: el plano de control evalúa continuamente los recursos con respecto a las directivas definidas. Si un recurso no cumple, el plano de control puede realizar acciones como denegar la creación de recursos, auditarla o aplicar configuraciones específicas.
  • Aplicación en tiempo real: las directivas se aplican en tiempo real, lo que garantiza que cualquier acción que no se aplique se aborde de inmediato para mantener la integridad y la seguridad de su entorno.

Más información

• Preguntas frecuentes sobre la seguridad para Azure NetApp Files
• Línea base de seguridad de Azure para Azure NetApp Files
• Configuración de claves administradas por el cliente para Azure NetApp Files para el cifrado de volumen
• Comprender la seguridad del plano de datos de Azure NetApp Files