FAQ Keamanan untuk Azure NetApp Files

Artikel
01/29/2024

Artikel ini menjawab tanya jawab umum (FAQ) tentang keamanan Azure NetApp Files.

Bisakah lalu lintas jaringan antara Azure VM dan penyimpanan dienkripsi?

Lalu lintas data Azure NetApp Files secara inheren aman berdasarkan desain, karena tidak menyediakan titik akhir publik, dan lalu lintas data tetap berada dalam VNet milik pelanggan. Data dalam penerbangan tidak dienkripsi secara default. Namun, lalu lintas data dari Azure VM (yang menjalankan klien NFS atau SMB) ke Azure NetApp Files seaman lalu lintas VM ke VM Azure lainnya.

Protokol NFSv3 tidak menyediakan dukungan untuk enkripsi, sehingga data dalam penerbangan ini tidak dapat dienkripsi. Namun, enkripsi dalam penerbangan NFSv4.1 dan SMB3 secara opsional bisa diaktifkan. Lalu lintas data antara klien NFSv4.1 dan volume Azure NetApp Files bisa dienkripsi menggunakan Kerberos dengan enkripsi AES-256. Lihat Mengonfigurasikan enkripsi NFSv4.1 Kerberos untuk Azure NetApp Files. Lalu lintas data antara klien SMB3 dan volume Azure NetApp Files bisa dienkripsi menggunakan algoritme AES-CCM pada SMB 3.0, dan algoritme AES-GCM pada koneksi SMB 3.1.1. Lihat Membuat volume SMB untuk Azure NetApp Files untuk detailnya.

Bisakah penyimpanan dienkripsi saat istirahat?

Semua volume Azure NetApp Files dienkripsi menggunakan standar FIPS 140-2. Pelajari cara kunci enkripsi dikelola.

Apakah lalu lintas wilayah dan replikasi lintas zona Azure NetApp Files dienkripsi?

Replikasi lintas wilayah dan lintas zona Azure NetApp Files menggunakan enkripsi GCM TLS 1.2 AES-256 untuk mengenkripsi semua data yang ditransfer antara volume sumber dan volume tujuan. Enkripsi ini selain enkripsi Azure MACSec yang aktif secara default untuk semua lalu lintas Azure, termasuk azure NetApp Files lintas wilayah dan replikasi lintas zona.

Bagaimana kunci enkripsi dikelola?

Secara default manajemen kunci untuk Azure NetApp Files ditangani oleh layanan, menggunakan kunci yang dikelola platform. Kunci enkripsi data XTS-AES-256 yang unik dibuat untuk setiap volume. Hierarki kunci enkripsi digunakan untuk mengenkripsi dan melindungi semua kunci volume. Kunci enkripsi ini tidak pernah ditampilkan atau dilaporkan dalam format yang tidak terenkripsi. Saat Anda menghapus volume, Azure NetApp Files segera menghapus kunci enkripsi volume.

Atau, kunci yang dikelola pelanggan untuk enkripsi volume Azure NetApp Files dapat digunakan di mana kunci disimpan di Azure Key Vault. Dengan kunci yang dikelola pelanggan, Anda dapat sepenuhnya mengelola hubungan antara siklus hidup kunci, izin penggunaan utama, dan operasi audit pada kunci. Fitur ini umumnya tersedia (GA) di wilayah yang didukung.

Selain itu, kunci yang dikelola pelanggan menggunakan Azure Dedicated HSM didukung secara terkontrol. Dukungan saat ini tersedia di wilayah US Timur, US Tengah Selatan, US Barat 2, dan US Gov Virginia. Anda bisa meminta akses di anffeedback@microsoft.com. Saat kapasitas tersedia, permintaan akan disetujui.

Bisakah saya mengonfigurasi aturan kebijakan ekspor NFS untuk mengontrol akses ke target pemasangan layanan Azure NetApp Files?

Ya, Anda bisa mengonfigurasi hingga lima aturan dalam satu kebijakan ekspor NFS.

Dapatkah saya menggunakan kontrol akses berbasis peran Azure (RBAC) dengan Azure NetApp Files?

Ya, Azure NetApp Files mendukung fitur Azure RBAC. Seiring dengan peran Azure bawaan, Anda bisa membuat peran kustom untuk Azure NetApp Files.

Untuk daftar lengkap izin Azure NetApp Files, lihat operasi penyedia sumber daya Azure untuk Microsoft.NetApp.

Apakah Log Aktivitas Azure didukung di Azure NetApp Files?

Azure NetApp Files adalah layanan asli Azure. Semua API PUT, POST, dan DELETE terhadap Azure NetApp Files dicatat. Misalnya, log menampilkan aktivitas seperti siapa yang membuat rekam jepret, siapa yang mengubah volume, dan sebagainya.

Untuk daftar lengkap operasi API, lihat REST API Azure NetApp Files.

Bisakah saya menggunakan kebijakan Azure dengan Azure NetApp Files?

Ya, Anda bisa membuat kebijakan Azure kustom.

Namun, Anda tidak dapat membuat kebijakan Azure (kebijakan penamaan kustom) di antarmuka Azure NetApp Files. Lihat Pedoman perencanaan jaringan Azure NetApp Files.

Ketika saya menghapus volume Azure NetApp Files, apakah data dihapus dengan aman?

Penghapusan volume Azure NetApp Files dilakukan secara terprogram dengan efek langsung. Operasi hapus termasuk menghapus kunci yang digunakan untuk mengenkripsi data tidak aktif. Tidak ada pilihan untuk skenario apa pun untuk memulihkan volume yang dihapus setelah operasi penghapusan berhasil dijalankan (melalui antarmuka seperti portal Microsoft Azure dan API.)

Bagaimana kredensial Active Directory Koneksi or disimpan di layanan Azure NetApp Files?

Kredensial ad Koneksi or disimpan dalam database sarana kontrol Azure NetApp Files dalam format terenkripsi. Algoritma enkripsi yang digunakan adalah AES-256 (satu arah).