FAQ sur la sécurité dans Azure NetApp Files

Article
01/29/2024

Cet article contient les réponses à certaines questions fréquemment posées sur la sécurité dans Azure NetApp Files.

Le trafic réseau entre la machine virtuelle Azure et le stockage peut-il être chiffré ?

Le trafic de données Azure NetApp Files est intrinsèquement sécurisé par conception, car il ne fournit pas de point de terminaison public et le trafic de données reste dans le réseau virtuel appartenant au client. Les données à la volée ne sont pas chiffrées par défaut. Toutefois, le trafic des données d’une machine virtuelle Azure (exécutant un client SMB ou NFS) vers Azure NetApp Files est aussi sécurisé que tout autre trafic entre machines virtuelles Azure.

Le protocole NFSv3 ne prend pas en charge le chiffrement, de sorte que ces données en version d’évaluation ne peuvent pas être chiffrées. Toutefois, le chiffrement des données à la volée NFSv4.1 et SMB3 peut être activé. Le trafic de données entre les clients NFSv4.1 et les volumes Azure NetApp Files peut être chiffré à l’aide de Kerberos avec le chiffrement AES-256. Pour plus d’informations, consultez Configurer le chiffrement Kerberos NFSv4.1 pour Azure NetApp Files. Le trafic de données entre les clients SMB3 et les volumes Azure NetApp Files peut être chiffré à l’aide de l’algorithme AES-CCM sur SMB 3.0 et de l’algorithme AES-GCM sur les connexions SMB 3.1.1. Pour plus d’informations, consultez Créer un volume SMB pour Azure NetApp Files.

Le stockage peut-il être chiffré au repos ?

Tous les volumes Azure NetApp Files sont chiffrés en suivant la norme FIPS 140-2. Découvrez comment les clés de chiffrement sont gérées.

Le trafic de réplication interrégion et interzone Azure NetApp Files est-il chiffré ?

La réplication interrégion et interzone Azure NetApp Files utilise le chiffrement GCM TLS 1.2 AES-256 pour chiffrer toutes les données transférées entre le volume source et le volume de destination. Ce chiffrement est en plus du chiffrement MACSec Azure activé par défaut pour tout le trafic Azure, y compris la réplication interrégion et interzone d’Azure NetApp Files.

Comment les clés de chiffrement sont-elles gérées ?

Par défaut, la gestion des clés pour Azure NetApp Files est gérée par le service, à l’aide de clés gérées par la plateforme. Une clé de chiffrement de données XTS-AES-256 unique est générée pour chaque volume. Une hiérarchie de clés de chiffrement est utilisée pour chiffrer et protéger toutes les clés de volume. Ces clés de chiffrement ne sont jamais affichées ou indiquées dans un format non chiffré. Lorsque vous supprimez un volume, Azure NetApp Files supprime immédiatement les clés de chiffrement du volume.

Vous pouvez également utiliser des clés gérées par le client pour le chiffrement de volume Azure NetApp Files où les clés sont stockées dans Azure Key Vault. Avec les clés gérées par le client, vous pouvez gérer entièrement la relation entre le cycle de vie d’une clé, les autorisations d’utilisation des clés et les opérations d’audit sur les clés. La fonctionnalité est en disponibilité générale dans les régions prises en charge.

En outre, les clés gérées par le client à l’aide d’Azure Dedicated HSM sont prises en charge de manière contrôlée. La prise en charge est actuellement disponible dans les régions USA Est, USA Centre Sud, USA Ouest 2 et US Gov Virginie. Vous pouvez demander l’accès à anffeedback@microsoft.com. Une fois la capacité disponible, les demandes sont approuvées.

Puis-je configurer les règles de stratégie d’exportation NFS pour contrôler l’accès à la cible de montage du service Azure NetApp Files ?

Oui, vous pouvez configurer jusqu'à cinq règles dans une même stratégie d’exportation NFS.

Puis-je utiliser le contrôle d’accès en fonction du rôle Azure (RBAC) avec Azure NetApp Files ?

Oui, Azure NetApp Files prend en charge les fonctionnalités Azure RBAC. Avec les rôles Azure intégrés, vous pouvez créer des rôles personnalisés pour Azure NetApp files.

Pour obtenir la liste complète des autorisations Azure NetApp Files, consultez les opérations de fournisseur de ressources Azure pour Microsoft.NetApp.

Les journaux d’activité Azure sont-ils pris en charge sur Azure NetApp Files ?

Azure NetApp Files est un service natif Azure. Toutes les API PUT, POST et DELETE opérant sur Azure NetApp Files sont journalisées. Par exemple, les journaux présentent des activités indiquant, par exemple, qui a créé la capture instantanée, qui a modifié le volume, et ainsi de suite.

Pour obtenir la liste complète des opérations API, consultez API REST Azure NetApp Files.

Puis-je utiliser des stratégies Azure avec Azure NetApp Files ?

Oui, vous pouvez créer des stratégies Azure personnalisées.

Toutefois, vous ne pouvez pas créer de stratégies Azure (stratégies d’affectation de noms personnalisées) sur l’interface Azure NetApp Files. Consultez Consignes pour planifier un réseau Azure NetApp Files.

Lorsque je supprime un volume Azure NetApp Files, les données sont-elles supprimées en toute sécurité ?

La suppression d'un volume Azure NetApp Files est effectuée par programmation avec effet immédiat. L’opération de suppression comprend la suppression des clés utilisées pour chiffrer les données au repos. Il n’existe aucune option pour un scénario de récupération d’un volume supprimé une fois l’opération de suppression exécutée avec succès (via des interfaces telles que le portail Azure et l’API).

Comment les informations d’identification du connecteur Active Directory sont-elles stockées sur le service Azure NetApp Files ?

Les informations d’identification du connecteur AD sont stockées dans la base de données du plan de contrôle Azure NetApp Files au format chiffré. L’algorithme de chiffrement utilisé est AES-256 (unidirectionnel).