Preguntas frecuentes sobre la seguridad para Azure NetApp Files

Artículo
01/29/2024

En este artículo se responden las preguntas frecuentes (P+F) sobre la seguridad de Azure NetApp Files.

¿Se puede cifrar el tráfico de red entre la máquina virtual de Azure y el almacenamiento?

El tráfico de datos de Azure NetApp Files es intrínsecamente seguro por diseño, ya que no proporciona un punto de conexión público y el tráfico de datos permanece dentro de la red virtual propiedad del cliente. Los datos en tránsito no se cifran de manera predeterminada. Sin embargo, el tráfico de datos desde una máquina virtual de Azure (que ejecuta un cliente SMB o NFS) a Azure NetApp Files es tan seguro como cualquier otro tráfico de máquina virtual a máquina virtual de Azure.

El protocolo NFSv3 no proporciona compatibilidad con el cifrado, por lo que estos datos en curso no se pueden cifrar. Sin embargo, existe la opción de habilitar el cifrado de datos en tránsito de NFSv4.1 y SMB3. El tráfico de datos entre los clientes de NFSv 4.1 y los volúmenes de Azure NetApp Files se puede cifrar mediante Kerberos con el cifrado AES-256. Para más información, consulte Configuración del cifrado Kerberos de NFSv4.1 para Azure NetApp Files. El tráfico de datos entre los clientes de SMB3 y los volúmenes de Azure NetApp Files se puede cifrar mediante el algoritmo AES-CCM en SMB 3.0 y el algoritmo AES-GCM en conexiones SMB 3.1.1. Para más información, consulte Creación de un volumen SMB para Azure NetApp Files.

¿Se puede cifrar el almacenamiento en reposo?

Todos los volúmenes de Azure NetApp Files se cifran mediante el estándar FIPS 140-2. Obtenga información sobre cómo se administran las claves de cifrado.

¿Azure NetApp Files está cifrado entre regiones y tráfico de replicación entre zonas?

Azure NetApp Files entre regiones y replicación entre zonas usa el cifrado AES-256 GCM de TLS 1.2 para cifrar todos los datos transferidos entre el volumen de origen y el volumen de destino. Este cifrado se suma al cifrado MACSec de Azure que está activado de forma predeterminada para todo el tráfico de Azure, incluida la replicación entre regiones y entre zonas de Azure NetApp Files.

¿Cómo se administran las claves de cifrado?

De forma predeterminada, el servicio controla la administración de claves para Azure NetApp Files mediante claves administradas por la plataforma. Se genera una clave de cifrado de datos XTS-AES-256 única para cada volumen. Una jerarquía de claves de cifrado se usa para cifrar y proteger todas las claves de volumen. Estas claves de cifrado nunca se muestran ni se notifican en un formato sin cifrar. Al eliminar un volumen, Azure NetApp Files elimina inmediatamente las claves de cifrado del volumen.

Como alternativa, las claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files se pueden usar donde las claves se almacenan en Azure Key Vault. Con las claves administradas por el cliente, puede administrar completamente la relación entre el ciclo de vida de una clave, los permisos de uso de claves y las operaciones de auditoría en las claves. La característica está disponible con carácter general (GA) en las regiones admitidas.

Además, las claves administradas por el cliente mediante Azure Dedicated HSM se admiten de forma controlada. El soporte técnico está disponible actualmente en las regiones Este de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2 y US Gov Virginia. Puede solicitar acceso en anffeedback@microsoft.com. Las solicitudes se aprueban a medida que la capacidad va estando disponible.

¿Puedo configurar las reglas de directivas de exportación NFS para controlar el acceso al destino de montaje del servicio Azure NetApp Files?

Sí, puede configurar hasta cinco reglas en una sola directiva de exportación NFS.

¿Puedo usar el control de acceso basado en rol (RBAC) de Azure con Azure NetApp Files?

Sí, Azure NetApp Files admite las características de RBAC de Azure. Junto con los roles de Azure integrados, puede crear roles personalizados para Azure NetApp Files.

Para obtener una lista completa de los permisos de Azure NetApp Files, consulte las operaciones del proveedor de recursos de Azure para Microsoft.NetApp.

¿Se admiten los registros de actividad de Azure en Azure NetApp Files?

Azure NetApp Files es un servicio nativo de Azure. Todas las API PUT, POST y DELETE se registran en Azure NetApp Files. Por ejemplo, los registros muestran actividades como quién creó la instantánea, quién modificó el volumen, etc.

Para obtener una lista completa de las operaciones de API, consulte API REST de Azure NetApp Files.

¿Puedo usar directivas de Azure con Azure NetApp Files?

Sí, puede crear directivas de Azure personalizadas.

Sin embargo, no puede crear directivas de Azure (directivas de nomenclatura personalizadas) en la interfaz de Azure NetApp Files. Consulte Instrucciones para el planeamiento de red de Azure NetApp Files.

Cuando elimino un volumen de Azure NetApp Files, ¿los datos se eliminan de forma segura?

La eliminación de un volumen de Azure NetApp Files se realiza mediante programación con efecto inmediato. La operación de eliminación incluye la eliminación de las claves usadas para cifrar datos en reposo. No hay ningún escenario que permita la recuperación de un volumen eliminado una vez que la operación de eliminación se ejecuta correctamente (mediante interfaces como Azure Portal y la API).

¿Cómo se almacenan las credenciales del conector de Active Directory en el servicio Azure NetApp Files?

Las credenciales del conector de AD se almacenan en la base de datos del plano de control de Azure NetApp Files en un formato cifrado. El algoritmo de cifrado que se usa es AES-256 (unidireccional).