Azure NetApp Files のセキュリティに関するよくあるご質問
この記事では、Azure NetApp Files のセキュリティについてのよくあるご質問 (FAQ) に回答します。
Azure VM とストレージ間のネットワーク トラフィックは暗号化できますか?
Azure NetApp Files のデータ トラフィックは、パブリック エンドポイントが提供されず、データ トラフィックは顧客所有の VNet 内に留まっているので、設計上、本質的にセキュリティが確保されています。 既定では、転送中のデータは暗号化されません。 ただし、(NFS または SMB クライアントを実行している) Azure VM から Azure NetApp Files へのデータ トラフィックは、Azure VM 間のトラフィックと同様に安全です。
NFSv3 プロトコルでは暗号化がサポートされていないため、この転送中のデータを暗号化することはできません。 ただし、NFSv4.1 と SMB3 による転送中のデータの暗号化は、必要に応じて有効にすることができます。 NFSv4.1 クライアントと Azure NetApp Files ボリューム間のデータ トラフィックは、AES-256 暗号化を使用した Kerberos を使用して暗号化できます。 詳細については、「Azure NetApp Files の NFSv4.1 の Kerberos 暗号化を構成する」を参照してください。 SMB3 クライアントと Azure NetApp Files ボリュームの間のデータ トラフィックは、SMB 3.0 では AES-CCM アルゴリズムを使用して、SMB 3.1.1 接続では AES-GCM アルゴリズムを使用して、暗号化できます。 詳細については、「Azure NetApp Files の SMB ボリュームを作成する」を参照してください。
ストレージは保存時に暗号化できますか?
Azure NetApp Files のすべてのボリュームは、FIPS 140-2 標準を使用して暗号化されます。 暗号化キーはどのように管理されるか説明します。
Azure NetApp Files のリージョン間およびゾーン間のレプリケーション トラフィックは暗号化されますか?
Azure NetApp Files のリージョン間レプリケーションとクロスゾーン レプリケーションでは、TLS 1.2 AES-256 GCM 暗号化を使用して、ソース ボリュームと宛先ボリュームの間で転送されるすべてのデータが暗号化されます。 この暗号化は、Azure NetApp Files のリージョン間レプリケーションやクロスゾーン レプリケーションなど、すべての Azure トラフィックに対して既定でオンになっている Azure MACSec 暗号化に加えて行われます。
暗号化キーはどのように管理されるのですか?
既定では、Azure NetApp Files のキー管理は、プラットフォーム管理キーを使用してサービスによって処理されます。 ボリュームごとに一意の XTS-AES-256 データ暗号化キーが生成されます。 すべてのボリューム キーは、暗号化キーの階層を使用して暗号化され、保護されます。 これらの暗号化キーは決して表示されず、また、暗号化されていない形式でレポートされることもありません。 ボリュームを削除した直後に、Azure NetApp Files によってボリュームの暗号化キーが削除されます。
または、Azure NetApp Files ボリューム暗号化のカスタマー マネージド キーは、キーが Azure Key Vault に格納されている場所で使用できます。 カスタマー マネージド キーを使用すると、キーのライフ サイクル、キーの使用アクセス許可、キーの監査操作の間の関係を完全に管理できます。 この機能は、サポートされているリージョンで一般公開 (GA) されています。
また、Azure Dedicated HSM を使用したカスタマー マネージド キーは、制御された方法でサポートされます。 サポートは現在のところ、米国東部、米国中南部、米国西部 2、US Gov バージニア リージョンで利用できます。 anffeedback@microsoft.com にアクセスを要求することもできます。 容量が利用可能になると、要求が承認されます。
NFS エクスポート ポリシー規則を、Azure NetApp Files サービスのマウント ターゲットへのアクセスを制御するように構成できますか?
はい。1 つの NFS エクスポート ポリシーで、最大 5 つの規則を構成できます。
Azure NetApp Files で Azure ロールベースのアクセス制御 (RBAC) を使用できますか?
はい。Azure NetApp Files では、Azure RBAC の機能がサポートされています。 組み込みの Azure ロールに加え、Azure NetApp Files 用にカスタム ロールを作成できます。
Azure NetApp Files のアクセス許可の詳細な一覧については、「Azure リソース プロバイダーの操作」で「Microsoft.NetApp」を参照してください。
Azure NetApp Files で Azure アクティビティ ログはサポートされていますか?
Azure NetApp Files は Azure のネイティブ サービスです。 Azure NetApp Files に対する PUT、POST、および DELETE API がすべてログに記録されます。 たとえば、スナップショットを作成したユーザー、ボリュームを変更したユーザーといったアクティビティがログに表示されます。
API 操作の詳細な一覧については、「Azure NetApp Files REST API」を参照してください。
Azure NetApp Files で Azure のポリシーを使用できますか?
はい、カスタム Azure ポリシーを作成することができます。
ただし、Azure NetApp Files インターフェイスに Azure ポリシー (カスタム名前付けポリシー) を作成することはできません。 「Azure NetApp Files のネットワーク計画のガイドライン」を参照してください。
Azure NetApp Files のボリュームを削除するとき、データは安全に削除されますか?
Azure NetApp Files ボリュームの削除は、プログラムによってただちに実行されます。 削除操作には、保存データの暗号化に使用されるキーの削除が含まれます。 削除操作が正常に実行された後では、(Azure portal や API などのインターフェイスを使用して) 削除されたボリュームを回復するためのシナリオはありません。
Active Directory コネクタの資格情報は、Azure NetApp Files サービスにどのように保存されますか?
AD コネクタの資格情報は、Azure NetApp Files コントロール プレーン データベースに暗号化形式で保存されます。 使用される暗号化アルゴリズムは AES-256 (一方向) です。