Delen via

Veelgestelde vragen over beveiliging voor Azure NetApp Files

  • Artikel

In dit artikel vindt u antwoorden op veelgestelde vragen over azure NetApp Files-beveiliging.

Kan het netwerkverkeer tussen de Virtuele Azure-machine en de opslag worden versleuteld?

Azure NetApp Files-gegevensverkeer is inherent veilig, omdat het geen openbaar eindpunt biedt en gegevensverkeer binnen het VNet van de klant blijft. Data-in-flight is niet standaard versleuteld. Gegevensverkeer van een Virtuele Azure-machine (met een NFS- of SMB-client) naar Azure NetApp Files is echter net zo veilig als elk ander Verkeer van Azure-VM naar VM.

Het NFSv3-protocol biedt geen ondersteuning voor versleuteling, dus deze gegevens in flight kunnen niet worden versleuteld. NFSv4.1- en SMB3-gegevensversleuteling kan echter desgewenst worden ingeschakeld. Gegevensverkeer tussen NFSv4.1-clients en Azure NetApp Files-volumes kan worden versleuteld met Kerberos met AES-256-versleuteling. Zie NFSv4.1 Kerberos-versleuteling configureren voor Azure NetApp Files voor meer informatie. Gegevensverkeer tussen SMB3-clients en Azure NetApp Files-volumes kan worden versleuteld met behulp van het AES-CCM-algoritme op SMB 3.0 en het AES-GCM-algoritme op SMB 3.1.1-verbindingen. Zie Een SMB-volume maken voor Azure NetApp Files voor meer informatie.

Kan de opslag in rust worden versleuteld?

Alle Azure NetApp Files-volumes worden versleuteld met de FIPS 140-2-standaard. Meer informatie over hoe versleutelingssleutels worden beheerd.

Wordt replicatieverkeer tussen regio's en zoneoverschrijdende replicatie van Azure NetApp Files versleuteld?

Azure NetApp Files-replicatie tussen regio's en zones maakt gebruik van TLS 1.2 AES-256 GCM-versleuteling om alle gegevens te versleutelen die worden overgedragen tussen het bronvolume en het doelvolume. Deze versleuteling is een aanvulling op de Azure MACSec-versleuteling die standaard is ingeschakeld voor alle Azure-verkeer, inclusief Azure NetApp Files-replicatie tussen regio's en zoneoverschrijdende replicatie.

Hoe worden versleutelingssleutels beheerd?

Sleutelbeheer voor Azure NetApp Files wordt standaard verwerkt door de service, met behulp van door platform beheerde sleutels. Er wordt een unieke XTS-AES-256-gegevensversleutelingssleutel gegenereerd voor elk volume. Een versleutelingssleutelhiërarchie wordt gebruikt om alle volumesleutels te versleutelen en te beveiligen. Deze versleutelingssleutels worden nooit weergegeven of gerapporteerd in een niet-versleutelde indeling. Wanneer u een volume verwijdert, verwijdert Azure NetApp Files onmiddellijk de versleutelingssleutels van het volume.

U kunt ook door de klant beheerde sleutels voor volumeversleuteling van Azure NetApp Files gebruiken waar sleutels worden opgeslagen in Azure Key Vault. Met door de klant beheerde sleutels kunt u de relatie tussen de levenscyclus van een sleutel, sleutelgebruiksmachtigingen en controlebewerkingen op sleutels volledig beheren. De functie is algemeen beschikbaar (GA) in ondersteunde regio's. Volumeversleuteling van Azure NetApp Files met door de klant beheerde sleutels met de beheerde Hardware Security Module is een uitbreiding op deze functie, zodat u uw versleutelingssleutels kunt opslaan in een veiligere FIPS 140-2 HSM op niveau 3 in plaats van de FIPS 140-2 Level 1- of Level 2-service die wordt gebruikt door Azure Key Vault.

Azure NetApp Files ondersteunt de mogelijkheid om bestaande volumes te verplaatsen met behulp van door het platform beheerde sleutels naar door de klant beheerde sleutels. Zodra u de overgang hebt voltooid, kunt u niet teruggaan naar door het platform beheerde sleutels. Zie Een Azure NetApp Files-volume overstappen op door de klant beheerde sleutels voor meer informatie.

Kan ik de NFS-exportbeleidsregels configureren om de toegang tot het koppelingsdoel van de Azure NetApp Files-service te beheren?

Ja, u kunt maximaal vijf regels configureren in één NFS-exportbeleid.

Kan ik op rollen gebaseerd toegangsbeheer (RBAC) van Azure gebruiken met Azure NetApp Files?

Ja, Azure NetApp Files biedt ondersteuning voor Azure RBAC-functies. Naast de ingebouwde Azure-rollen kunt u aangepaste rollen maken voor Azure NetApp Files.

Zie Bewerkingen van de Azure-resourceprovider voor Microsoft.NetAppde volledige lijst met Azure NetApp Files-machtigingen.

Worden Azure-activiteitenlogboeken ondersteund in Azure NetApp Files?

Azure NetApp Files is een systeemeigen Azure-service. Alle PUT-, POST- en DELETE-API's voor Azure NetApp Files worden vastgelegd. In de logboeken worden bijvoorbeeld activiteiten weergegeven zoals wie de momentopname heeft gemaakt, wie het volume heeft gewijzigd, enzovoort.

Zie Azure NetApp Files REST API voor de volledige lijst met API-bewerkingen.

Kan ik Azure-beleid gebruiken met Azure NetApp Files?

Ja, u kunt aangepaste Azure-beleidsregels maken.

U kunt echter geen Azure-beleid (aangepaste naamgevingsbeleid) maken in de Interface van Azure NetApp Files. Zie Richtlijnen voor Azure NetApp Files-netwerkplanning.

Wanneer ik een Azure NetApp Files-volume verwijder, worden de gegevens veilig verwijderd?

Het verwijderen van een Azure NetApp Files-volume wordt programmatisch uitgevoerd met onmiddellijk effect. De verwijderbewerking omvat het verwijderen van sleutels die worden gebruikt voor het versleutelen van data-at-rest. Er is geen optie voor een scenario om een verwijderd volume te herstellen zodra de verwijderbewerking is uitgevoerd (via interfaces zoals Azure Portal en de API.)

Hoe worden de Referenties van de Active Directory-connector opgeslagen in de Azure NetApp Files-service?

De referenties van de AD-connector worden opgeslagen in de Azure NetApp Files-besturingsvlakdatabase in een versleutelde indeling. Het gebruikte versleutelingsalgoritmen zijn AES-256 (in één richting).

Volgende stappen