Cifrado doble de Azure NetApp Files en reposo

  • Artículo

De forma predeterminada, los grupos de capacidad de Azure NetApp Files usan el cifrado único en reposo. Al crear un grupo de capacidad, tiene la opción de usar el cifrado doble en reposo para los volúmenes del grupo de capacidad. Para ello, seleccione double como tipo de cifrado para el grupo de capacidad que va a crear.

Los datos críticos a menudo se encuentran en lugares como instituciones financieras, usuarios militares, datos de clientes empresariales, registros gubernamentales, registros médicos de atención médica, etc. Aunque el cifrado único en reposo puede considerarse suficiente para algunos datos, debe usar el cifrado doble en reposo para los datos en los que una vulneración de confidencialidad sería grave. Las pérdidas de información, como los datos confidenciales del cliente, los nombres, las direcciones y la identificación gubernamental, pueden dar lugar a responsabilidades extremadamente altas, y se pueden mitigar al tener la confidencialidad de los datos protegidos por el cifrado doble en reposo.

Cuando los datos se transportan a través de redes, el cifrado adicional, como seguridad de la capa de transporte (TLS) puede ayudar a proteger el tránsito de datos. Pero una vez que hayan llegado los datos, la protección de esos datos en reposo ayuda a abordar la vulnerabilidad. El uso del cifrado doble de Azure NetApp Files en reposo complementa la seguridad inherente al almacenamiento en la nube físicamente seguro en los centros de datos de Azure.

El cifrado doble de Azure NetApp Files en reposo proporciona dos niveles de protección de cifrado: una capa de cifrado basada en hardware (unidades SSD cifradas) y una capa de cifrado de software. La capa de cifrado basada en hardware reside en el nivel de almacenamiento físico, mediante unidades certificadas FIPS 140-2. La capa de cifrado basada en software está en el nivel de volumen completando el segundo nivel de protección de cifrado.

Si usa esta característica por primera vez, debe registrarse para la característica y, a continuación, crear un grupo de capacidad de cifrado doble. Para más información, consulte Creación de un grupo de capacidad para Azure NetApp Files.

Al crear un volumen en un grupo de capacidad de cifrado doble, la administración de claves predeterminada (el campo Origen de clave de cifrado) es Microsoft Managed Keyy la otra opción es Customer Managed Key. El uso de claves administradas por el cliente requiere una preparación adicional de Azure Key Vault y otros detalles. Para más información sobre el uso del cifrado de volumen con claves administradas por el cliente, consulte Configuración de claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files.

Screenshot of the Create Volume page in a double-encryption capacity pool.

Regiones admitidas

El cifrado doble en reposo de Azure NetApp Files es compatible con las siguientes regiones:

  • Centro de Australia
  • Centro de Australia 2
  • Este de Australia
  • Sudeste de Australia
  • Sur de Brasil
  • Centro de Canadá
  • Centro de EE. UU.
  • Este de Asia
  • Este de EE. UU.
  • Este de EE. UU. 2
  • Centro de Francia
  • Centro-oeste de Alemania
  • Japón Oriental
  • Centro de Corea del Sur
  • Centro-Norte de EE. UU
  • Norte de Europa
  • Este de Noruega
  • Centro de Catar
  • Norte de Sudáfrica
  • Centro-sur de EE. UU.
  • Norte de Suiza
  • Norte de Emiratos Árabes Unidos
  • Sur de Reino Unido
  • Oeste de Reino Unido
  • Oeste de Europa
  • Oeste de EE. UU.
  • Oeste de EE. UU. 2
  • Oeste de EE. UU. 3

Consideraciones

  • El cifrado doble en reposo de Azure NetApp Files admite características de red estándar, pero no características de red básicas.
  • Para conocer el costo de usar el cifrado doble de Azure NetApp Files en reposo, consulte la página de precios de Azure NetApp Files.
  • No se pueden convertir volúmenes en un grupo de capacidad de cifrado único para usar el cifrado doble en reposo. Sin embargo, puede copiar datos en un volumen de cifrado único en un volumen creado en un grupo de capacidad configurado con cifrado doble.
  • En el caso de los grupos de capacidad creados con cifrado doble en reposo, los nombres de volumen del grupo de capacidad solo son visibles para los propietarios de volúmenes para lograr la máxima seguridad.
  • El uso del cifrado doble en reposo podría tener impactos en el rendimiento en función del tipo de carga de trabajo y la frecuencia. El impacto en el rendimiento puede ser un mínimo del 1 al 2 %, en función del perfil de carga de trabajo.

Pasos siguientes