Compartir vía


Preguntas frecuentes sobre la seguridad para Azure NetApp Files

En este artículo se responden las preguntas frecuentes (P+F) sobre la seguridad de Azure NetApp Files.

¿Se puede cifrar el tráfico de red entre la máquina virtual de Azure y el almacenamiento?

El tráfico de datos de Azure NetApp Files es seguro por diseño, porque no proporciona ningún punto de conexión público y el tráfico de datos permanece dentro de la red virtual propiedad del cliente. Los datos en tránsito no se cifran de manera predeterminada. Sin embargo, el tráfico de datos desde una máquina virtual de Azure (que ejecuta un cliente SMB o NFS) a Azure NetApp Files es tan seguro como cualquier otro tráfico de máquina virtual a máquina virtual de Azure.

El protocolo NFSv3 no admite cifrado, por lo que estos datos en tránsito no se pueden cifrar. Sin embargo, existe la opción de habilitar el cifrado de datos en tránsito de NFSv4.1 y SMB3. El tráfico de datos entre los clientes de NFSv 4.1 y los volúmenes de Azure NetApp Files se puede cifrar mediante Kerberos con el cifrado AES-256. Para más información, consulte Configuración del cifrado Kerberos de NFSv4.1 para Azure NetApp Files. El tráfico de datos entre los clientes de SMB3 y los volúmenes de Azure NetApp Files se puede cifrar mediante el algoritmo AES-CCM en SMB 3.0 y el algoritmo AES-GCM en conexiones SMB 3.1.1. Para más información, consulte Creación de un volumen SMB para Azure NetApp Files.

¿Se puede cifrar el almacenamiento en reposo?

Todos los volúmenes de Azure NetApp Files se cifran mediante el estándar FIPS 140-2. Obtenga información cómo se administran las claves de cifrado.

¿El tráfico de replicación entre regiones y zonas de Azure NetApp Files está cifrado?

La replicación entre regiones y zonas de Azure NetApp Files usa cifrado TLS 1.2 AES-256 GCM para cifrar todos los datos transferidos entre el volumen de origen y el de destino. Este cifrado es adicional al cifrado MACSec de Azure que está activado de manera predeterminada para todo el tráfico de Azure, incluida la replicación entre regiones y zonas de Azure NetApp Files.

¿Cómo se administran las claves de cifrado?

De manera predeterminada, la administración de claves para Azure NetApp Files se controla mediante el servicio con platform-managed keys. Se genera una clave de cifrado de datos XTS-AES-256 única para cada volumen. Una jerarquía de claves de cifrado se usa para cifrar y proteger todas las claves de volumen. Estas claves de cifrado nunca se muestran ni se notifican en un formato sin cifrar. Al eliminar un volumen, Azure NetApp Files elimina inmediatamente las claves de cifrado del volumen.

También pueden usarse claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files, donde se almacenan las claves en Azure Key Vault. Con las claves administradas por el cliente, puede administrar completamente la relación entre el ciclo de vida de una clave, los permisos de uso de la claves y las operaciones de auditoría en las claves. La característica está disponible con carácter general (GA) en regiones admitidas. Cifrado de volumen de Azure NetApp Files con claves administradas por el cliente con el módulo de seguridad de hardware administrado es una extensión para esta característica, lo que le permite almacenar las claves de cifrado en un HSM de nivel 3 de FIPS 140-2 más seguro en lugar del servicio FIPS 140-2 nivel 1 o nivel 2 que usa Azure Key Vault.

Azure NetApp Files admite la capacidad de mover volúmenes existentes mediante claves administradas por la plataforma a claves administradas por el cliente. Una vez completada la transición, no puede volver a las claves administradas por la plataforma. Para más información, consulte Transición de un volumen de Azure NetApp Files a claves administradas por el cliente.

¿Puedo configurar las reglas de directivas de exportación NFS para controlar el acceso al destino de montaje del servicio Azure NetApp Files?

Sí, puede configurar hasta cinco reglas en una sola directiva de exportación NFS.

¿Puedo usar el control de acceso basado en rol (RBAC) de Azure con Azure NetApp Files?

Sí, Azure NetApp Files admite las características de RBAC de Azure. Junto con los roles de Azure integrados, puede crear roles personalizados para Azure NetApp Files.

Para obtener una lista completa de los permisos de Azure NetApp Files, consulte las operaciones del proveedor de recursos de Azure para Microsoft.NetApp.

¿Se admiten los registros de actividad de Azure en Azure NetApp Files?

Azure NetApp Files es un servicio nativo de Azure. Todas las API PUT, POST y DELETE se registran en Azure NetApp Files. Por ejemplo, los registros muestran actividades como quién creó la instantánea, quién modificó el volumen, etc.

Para obtener una lista completa de las operaciones de API, consulte API REST de Azure NetApp Files.

¿Puedo usar directivas de Azure con Azure NetApp Files?

Sí, puede crear directivas de Azure personalizadas.

Sin embargo, no puede crear directivas de Azure (directivas de nomenclatura personalizadas) en la interfaz de Azure NetApp Files. Consulte Instrucciones para el planeamiento de red de Azure NetApp Files.

Cuando elimino un volumen de Azure NetApp Files, ¿los datos se eliminan de forma segura?

La eliminación de un volumen de Azure NetApp Files se realiza mediante programación con efecto inmediato. La operación de eliminación incluye la eliminación de las claves usadas para cifrar datos en reposo. No hay ningún escenario que permita la recuperación de un volumen eliminado una vez que la operación de eliminación se ejecuta correctamente (mediante interfaces como Azure Portal y la API).

¿Cómo se almacenan las credenciales del conector de Active Directory en el servicio Azure NetApp Files?

Las credenciales del conector de AD se almacenan en la base de datos del plano de control de Azure NetApp Files en un formato cifrado. El algoritmo de cifrado que se usa es AES-256 (unidireccional).

Pasos siguientes